기믹 악성코드

macOS 장치를 대상으로 하는 이전에 알려지지 않은 맬웨어가 infosec 연구원에 의해 발견되었습니다. GIMMICK 악성코드로 추적되는 이 위협은 Storm Cloud 로 알려진 중국 사이버 스파이 그룹의 악의적인 무기고의 일부로 인한 것입니다. 위협에 대한 세부 정보는 MacBook Pro 장치의 RAM에서 악성 코드를 추출할 수 있었던 연구원의 보고서에 게시되었습니다. 이 장치는 2021년 말에 발생한 간첩 캠페인의 일환으로 감염된 것으로 추정됩니다.

기술적 세부 사항

GIMICK 악성코드는 다중 플랫폼 위협입니다. macOS 변종은 Objective C를 사용하여 작성되었으며 Windows 대상 변종은 .NET 및 Delphi를 사용하여 작성되었습니다. 특정 코드 차이가 있음에도 불구하고 모든 변형은 동일한 동작 패턴, 명령 및 제어(C2, C&C) 인프라 및 파일 경로를 나타냅니다. 또한 멀웨어는 Google 드라이브의 서비스를 심하게 남용한다는 점에 유의해야 합니다.

대상 시스템에 배포된 후 GIMMICK는 DriveManager, FileManager 및 GCDTimerManager의 세 가지 개별 맬웨어 구성 요소를 로드합니다. 구성 요소의 이름은 해당 작업과 기능을 반영합니다. FileManager는 C2 정보 및 명령 작업과 관련된 데이터가 포함된 로컬 디렉토리를 관리합니다. GCDTimerManger는 필요한 GCD 개체의 관리를 감독합니다. 반면에 DriveManager는 다양한 Google 드라이브 관련 작업을 담당합니다. 보다 구체적으로 말하면 Google 드라이브 및 프록시 세션을 관리하고 특정 Google 드라이브 디렉토리 계층 구조의 로컬 맵을 유지 관리하며 Google 드라이브 세션을 통한 다운로드 및 업로드 작업 등을 처리합니다.

위협적인 명령

연구원에 따르면 전체 GIMICK 악성코드 작업의 비동기적 특성으로 인해 명령 실행을 위한 단계적 접근이 필요합니다. 이러한 명령은 AES 암호화 형식으로 시스템에 전송되며 총 7개입니다. 위협 행위자는 침해된 장치에 대한 기본 시스템 정보를 전송하고, 파일을 C2 서버에 업로드하거나, 감염된 시스템에 선택한 파일을 다운로드하고, 셸 명령 등을 실행하도록 멀웨어에 지시할 수 있습니다.