Zlonamerna programska oprema GIMMICK

Prej neznano zlonamerno programsko opremo, ki cilja na naprave macOS, so odkrili raziskovalci infosec. Grožnja, ki jo spremljajo kot zlonamerna programska oprema GIMMICK, je bila pripisana temu, da je del zlonamernega arzenala kitajske kibervohunske skupine, znane kot Storm Cloud . Podrobnosti o grožnji so objavili v poročilu raziskovalcev, ki so uspeli izvleči zlonamerno programsko opremo iz RAM-a naprave MacBook Pro. Ocenjuje se, da je bila naprava okužena v okviru vohunske kampanje, ki je potekala konec leta 2021.

Tehnične podrobnosti

Zlonamerna programska oprema GIMMICK je grožnja za več platform. Njegove različice macOS so napisane z uporabo Objective C, medtem ko so tiste, ki ciljajo na Windows, ustvarjene z uporabo .NET in Delphi. Kljub nekaterim razlikam v kodi imajo vse različice enake vedenjske vzorce, infrastrukturo ukazov in nadzora (C2, C&C) in poti datotek. Prav tako je treba opozoriti, da zlonamerna programska oprema močno zlorablja storitve Google Drive.

Po namestitvi v ciljne sisteme GIMMICK naloži tri ločene komponente zlonamerne programske opreme – DriveManager, FileManager in GCDTimerManager. Imena komponent odražajo njihove naloge in funkcionalnosti. FileManager upravlja lokalni imenik, ki vsebuje informacije C2 in podatke, povezane z ukaznimi nalogami. GCDTimerManger nadzira upravljanje potrebnih GCD objektov. Po drugi strani je DriveManager odgovoren za različna dejanja, povezana z Google Drive. Natančneje, upravlja seje Google Drive in prox, vzdržuje lokalni zemljevid hierarhije določenega imenika Google Drive, obravnava vsa opravila prenosa in nalaganja prek seje Google Drive in še več.

Grozeči ukazi

Po mnenju raziskovalcev asinhrona narava celotnega delovanja zlonamerne programske opreme GIMMICK zahteva postopni pristop za izvajanje ukazov. Ti ukazi se v sistem posredujejo v AES-šifrirani obliki in jih je skupno sedem. Udeleženec grožnje lahko naroči zlonamerni programski opremi, naj posreduje osnovne sistemske informacije o vlomljeni napravi, naloži datoteke na strežnike C2 ali prenese izbrane datoteke v okuženi sistem, izvede ukaze lupine in drugo.