-
09/04/2020
-
93
-
600 bài viết
Bộ cấy GIMMICK nhắm mục tiêu vào macOS
Gimmick là một phần mềm cấy ghép mới trên macOS, phát triển bởi nhóm tin tặc APT có liên kết với Trung Quốc - Storm Cloud và được sử dụng để nhắm mục tiêu vào các tổ chức trên khắp châu Á.
Vào cuối năm 2021, các nhà nghiên cứu của Volexity đã điều tra một vụ xâm nhập trong môi trường mà họ đang theo dõi và phát hiện ra một chiếc MacBook Pro chạy macOS 11.6 (Big Sur) bị xâm nhập bởi phần mềm độc hại macOS chưa từng được biết đến trước đây mang tên GIMMICK. Các nhà nghiên cứu cho biết họ từng phát hiện ra các phiên bản trên Windows của cùng một thiết bị cấy ghép trong các cuộc điều tra trước đây.
Phiên bản cho macOS của bộ cấy được viết chủ yếu bằng Objective C, trong khi phiên bản trên Windows được viết bằng cả .NET và Delphi. Bộ cấy ghép sử dụng các dịch vụ lưu trữ đám mây công cộng (chẳng hạn như Google Drive) cho C2 để tránh bị phát hiện.
Volexity đã làm việc với Apple để thực hiện các biện pháp bảo vệ khỏi bộ cấy GIMMICK. Vào ngày 17 tháng 3 năm 2022, Apple đã tung ra các chữ ký mới cho XProtect và MRT để loại bỏ phần mềm độc hại.
GIMMICK ưu tiên khởi chạy trực tiếp bởi người dùng chứ không phải là daemon, sau đó nó tự cài đặt như một tác nhân khởi chạy bằng cách thả một tệp PLIST có nội dung.
“Trên macOS, GIMMICK hỗ trợ khởi chạy dưới dạng daemon trên hệ thống hoặc bởi người dùng. Nếu GIMMICK được khởi chạy trực tiếp bởi người dùng chứ không phải là daemon, nó sẽ tự cài đặt như một tác nhân khởi chạy bằng cách thả một tệp PLIST có nội dung, tương tự như được hiển thị bên dưới, vào /Users/<username>/Library/LaunchAgents” - Volexity cho hay. “Tên của hệ nhị phân, PLIST và tác nhân sẽ thay đổi theo từng mẫu. Trong trường hợp được quan sát bởi Volexity, bộ cấy đã được tùy chỉnh để bắt chước một ứng dụng thường được khởi chạy bởi người dùng mục tiêu”.
Trong quá trình khởi tạo, các chuyên gia phân tích giải mã một số phần dữ liệu được bộ cấy ghép sử dụng cho hoạt động của nó bằng cách sử dụng một thuật toán cộng xoay.
Bộ cấy cũng hỗ trợ chức năng tự gỡ cài đặt, hoạt động bằng cách thêm đối số “gỡ cài đặt” trên dòng lệnh. Lệnh này hướng dẫn mã độc cách xóa chính nó và tất cả các tệp được liên kết, sau đó kết thúc quá trình.
“Storm Cloud là nhóm hacker tiên tiến và linh hoạt, điều chỉnh bộ công cụ để phù hợp với các hệ điều hành khác nhau mà mục tiêu của nó sử dụng” - kết luận phân tích được công bố bởi các chuyên gia. “Việc chuyển phần mềm độc hại và điều chỉnh hệ thống của nó sang hệ điều hành mới (macOS) không hề nhẹ nhàng và cho thấy các hacker đứng sau nó có nguồn lực tốt, lão luyện và linh hoạt”.
Vào cuối năm 2021, các nhà nghiên cứu của Volexity đã điều tra một vụ xâm nhập trong môi trường mà họ đang theo dõi và phát hiện ra một chiếc MacBook Pro chạy macOS 11.6 (Big Sur) bị xâm nhập bởi phần mềm độc hại macOS chưa từng được biết đến trước đây mang tên GIMMICK. Các nhà nghiên cứu cho biết họ từng phát hiện ra các phiên bản trên Windows của cùng một thiết bị cấy ghép trong các cuộc điều tra trước đây.
Phiên bản cho macOS của bộ cấy được viết chủ yếu bằng Objective C, trong khi phiên bản trên Windows được viết bằng cả .NET và Delphi. Bộ cấy ghép sử dụng các dịch vụ lưu trữ đám mây công cộng (chẳng hạn như Google Drive) cho C2 để tránh bị phát hiện.
Volexity đã làm việc với Apple để thực hiện các biện pháp bảo vệ khỏi bộ cấy GIMMICK. Vào ngày 17 tháng 3 năm 2022, Apple đã tung ra các chữ ký mới cho XProtect và MRT để loại bỏ phần mềm độc hại.
GIMMICK ưu tiên khởi chạy trực tiếp bởi người dùng chứ không phải là daemon, sau đó nó tự cài đặt như một tác nhân khởi chạy bằng cách thả một tệp PLIST có nội dung.
“Trên macOS, GIMMICK hỗ trợ khởi chạy dưới dạng daemon trên hệ thống hoặc bởi người dùng. Nếu GIMMICK được khởi chạy trực tiếp bởi người dùng chứ không phải là daemon, nó sẽ tự cài đặt như một tác nhân khởi chạy bằng cách thả một tệp PLIST có nội dung, tương tự như được hiển thị bên dưới, vào /Users/<username>/Library/LaunchAgents” - Volexity cho hay. “Tên của hệ nhị phân, PLIST và tác nhân sẽ thay đổi theo từng mẫu. Trong trường hợp được quan sát bởi Volexity, bộ cấy đã được tùy chỉnh để bắt chước một ứng dụng thường được khởi chạy bởi người dùng mục tiêu”.
Trong quá trình khởi tạo, các chuyên gia phân tích giải mã một số phần dữ liệu được bộ cấy ghép sử dụng cho hoạt động của nó bằng cách sử dụng một thuật toán cộng xoay.
Bộ cấy cũng hỗ trợ chức năng tự gỡ cài đặt, hoạt động bằng cách thêm đối số “gỡ cài đặt” trên dòng lệnh. Lệnh này hướng dẫn mã độc cách xóa chính nó và tất cả các tệp được liên kết, sau đó kết thúc quá trình.
“Storm Cloud là nhóm hacker tiên tiến và linh hoạt, điều chỉnh bộ công cụ để phù hợp với các hệ điều hành khác nhau mà mục tiêu của nó sử dụng” - kết luận phân tích được công bố bởi các chuyên gia. “Việc chuyển phần mềm độc hại và điều chỉnh hệ thống của nó sang hệ điều hành mới (macOS) không hề nhẹ nhàng và cho thấy các hacker đứng sau nó có nguồn lực tốt, lão luyện và linh hoạt”.
Nguồn: securityaffairs