Nhóm hacker Gelsemium đứng sau các cuộc tấn công nhắm vào chính phủ Đông Nam Á 

Các nhà nghiên cứu của Palo Alto Unit42 cho biết, một nhóm APT được theo dõi dưới tên Gelsemium đang nhắm mục tiêu vào chính phủ Đông Nam Á. Chiến dịch kéo dài trong 6 tháng của năm 2022-2023, với đặc điểm sử dụng kết hợp các công cụ và kỹ thuật ‘độc’ để có quyền truy cập vào mạng mục tiêu và thu thập thông tin tình báo từ máy chủ IIS. 

Gelsemium là nhóm APT hoạt động ít nhất từ năm 2014. Các chiến dịch trước đây liên quan đến nhóm này nhắm vào chính phủ, giáo dục và các nhà sản xuất điện tử ở Đông Á và Trung Đông. 

Hacker đã lợi dụng một số web shell để truy cập ban đầu vào máy chủ web bị xâm nhập, bao gồm reGeorg, China Chopper và AspxSpy. Các chuyên gia nhận thấy rằng, một trong những web shell AspxSpy do Gelsemium sử dụng đã được Iron Taurus (còn gọi là APT 27) dùng cho hoạt động Iron Tiger vào năm 2015. 

Nhóm này cũng sử dụng web shell để thực hiện trinh sát mạng cơ bản, di chuyển ngang qua SMB và tìm nạp các công cụ bổ sung như OwlProxy, SessionManager, Cobalt Strike, SpoolFool và EarthWorm. 

Nguồn: Security Affairs