Шкідливе програмне забезпечення GIMMICK

Раніше невідоме зловмисне програмне забезпечення, націлене на пристрої macOS, було виявлено дослідниками Infosec. Відслідковується як зловмисне програмне забезпечення GIMMICK, загроза є частиною шкідливого арсеналу китайської кібершпигунської групи, відомої як Storm Cloud . Деталі про загрозу були опубліковані в звіті дослідників, яким вдалося витягти шкідливе програмне забезпечення з оперативної пам’яті пристрою MacBook Pro. Вважається, що пристрій було заражено в рамках шпигунської кампанії, яка відбулася наприкінці 2021 року.

Технічні деталі

Шкідливе програмне забезпечення GIMMICK є багатоплатформною загрозою. Його варіанти для macOS написані за допомогою Objective C, а націлені на Windows створені за допомогою .NET і Delphi. Незважаючи на наявність певних відмінностей у коді, усі варіанти демонструють однакові моделі поведінки, інфраструктуру командно-управління (C2, C&C) і шляхи до файлів. Слід також зазначити, що зловмисне програмне забезпечення сильно зловживає службами Google Drive.

Після розгортання в цільових системах GIMMICK завантажує три окремі компоненти шкідливого програмного забезпечення - DriveManager, FileManager і GCDTimerManager. Назви компонентів відображають їх завдання та функціональні можливості. FileManager керує локальним каталогом, що містить інформацію C2 та дані, пов’язані з командними завданнями. GCDTimerManger контролює керування необхідними об’єктами GCD. DriveManager, з іншого боку, відповідає за різні дії, пов’язані з Google Drive. Точніше, він керує сеансами Google Drive і проксі, підтримує локальну карту ієрархії певного каталогу Google Drive, обробляє будь-які завдання завантаження та завантаження через сеанс Google Drive тощо.

Загрозливі команди

На думку дослідників, асинхронний характер всієї роботи шкідливого програмного забезпечення GIMMICK вимагає поетапного підходу до виконання команд. Ці команди передаються в систему в зашифрованому AES формі і їх всього сім. Зловмисник може наказати зловмисному програмному забезпеченню передавати базову системну інформацію про зламаний пристрій, завантажувати файли на сервери C2 або завантажувати вибрані файли в заражену систему, виконувати команди оболонки тощо.