GIMMICK Malware
信息安全研究人員發現了一種以前未知的針對 macOS 設備的惡意軟件。該威脅被追踪為 GIMMICK 惡意軟件,被歸因於中國網絡間諜組織Storm Cloud的惡意武器庫的一部分。研究人員在一份報告中公佈了有關威脅的詳細信息,他們能夠從 MacBook Pro 設備的 RAM 中提取惡意軟件。據估計,該設備是在 2021 年底發生的間諜活動中被感染的。
技術細節
GIMMICK 惡意軟件是一種多平台威脅。它的 macOS 變體是使用 Objective C 編寫的,而面向 Windows 的變體是使用 .NET 和 Delphi 創建的。儘管存在某些代碼差異,但所有變體都表現出相同的行為模式、命令和控制(C2、C&C)基礎設施和文件路徑。還應該注意的是,該惡意軟件嚴重濫用了 Google Drive 的服務。
在目標系統上部署後,GIMMICK 會加載三個獨立的惡意軟件組件——DriveManager、FileManager 和 GCDTimerManager。組件的名稱反映了它們的任務和功能。 FileManager 管理包含 C2 信息和與命令任務相關的數據的本地目錄。 GCDTimerManger 監督所需 GCD 對象的管理。另一方面,DriveManager 負責各種與 Google Drive 相關的操作。更具體地說,它管理 Google Drive 和代理會話,維護特定 Google Drive 目錄層次結構的本地地圖,通過 Google Drive 會話處理任何下載和上傳任務等等。
威脅命令
據研究人員稱,整個 GIMMICK 惡意軟件操作的異步特性需要一種分階段的命令執行方法。這些命令以 AES 加密形式傳輸到系統,總共有 7 個。威脅參與者可以指示惡意軟件傳輸有關被破壞設備的基本系統信息,將文件上傳到 C2 服務器或將選定的文件下載到受感染的系統,執行 shell 命令等。
