GIMMICK Malware
信息安全研究人员发现了一种以前未知的针对 macOS 设备的恶意软件。该威胁被追踪为 GIMMICK 恶意软件,被归因于中国网络间谍组织Storm Cloud的恶意武器库的一部分。研究人员在一份报告中公布了有关威胁的详细信息,他们能够从 MacBook Pro 设备的 RAM 中提取恶意软件。据估计,该设备是在 2021 年底发生的间谍活动中被感染的。
技术细节
GIMMICK 恶意软件是一种多平台威胁。它的 macOS 变体是使用 Objective C 编写的,而面向 Windows 的变体是使用 .NET 和 Delphi 创建的。尽管存在某些代码差异,但所有变体都表现出相同的行为模式、命令和控制(C2、C&C)基础设施和文件路径。还应该注意的是,该恶意软件严重滥用了 Google Drive 的服务。
在目标系统上部署后,GIMMICK 会加载三个独立的恶意软件组件——DriveManager、FileManager 和 GCDTimerManager。组件的名称反映了它们的任务和功能。 FileManager 管理包含 C2 信息和与命令任务相关的数据的本地目录。 GCDTimerManger 监督所需 GCD 对象的管理。另一方面,DriveManager 负责各种与 Google Drive 相关的操作。更具体地说,它管理 Google Drive 和代理会话,维护特定 Google Drive 目录层次结构的本地地图,通过 Google Drive 会话处理任何下载和上传任务等等。
威胁命令
据研究人员称,整个 GIMMICK 恶意软件操作的异步特性需要一种分阶段的命令执行方法。这些命令以 AES 加密形式传输到系统,总共有 7 个。威胁参与者可以指示恶意软件传输有关被破坏设备的基本系统信息,将文件上传到 C2 服务器或将选定的文件下载到受感染的系统,执行 shell 命令等。
