Araştırmacılar, Asya’daki saldırı kuruluşlarına saldırdığı bilinen Çinli bir casusluk tehdidi aktörü tarafından geliştirilen bir kötü amaçlı yazılım implantının yeni keşfedilen bir macOS varyantının ayrıntılarını açıkladı.
Saldırıları şu şekilde izlenen bir gruba atfetmek Fırtına bulutusiber güvenlik firması Volexity, yeni kötü amaçlı yazılımı karakterize etti. Hile“komut ve kontrol (C2) kanalları için genel bulut barındırma hizmetlerini (Google Drive gibi) kullanan, zengin özelliklere sahip, çok platformlu bir kötü amaçlı yazılım ailesi.”
Siber güvenlik firması, 2021’in sonlarında gerçekleşen bir izinsiz giriş kampanyasının parçası olarak macOS 11.6 (Big Sur) çalıştıran güvenliği ihlal edilmiş bir MacBook Pro’nun bellek analizi yoluyla örneği kurtardığını söyledi.
Volexity araştırmacıları Damien Cash, Steven Adair ve Thomas Lancaster, “Storm Cloud, araç setini hedefleri tarafından kullanılan farklı işletim sistemlerine uyacak şekilde uyarlayan gelişmiş ve çok yönlü bir tehdit aktörüdür.” dedim bir raporda.
“Hedeflerine ulaşmak için yerleşik işletim sistemi yardımcı programlarından, açık kaynaklı araçlardan ve özel kötü amaçlı yazılım implantlarından yararlanıyorlar. Google Drive kullanmak gibi C2 için bulut platformlarından yararlanmak, ağ izleme çözümleri tarafından algılanmadan çalışma olasılığını artırır.”
Hem .NET hem de Delphi’de kodlanmış Windows muadili aksine, macOS sürümü Objective C’de yazılmıştır. Programlama dillerinin seçimi bir yana, kötü amaçlı yazılımın iki sürümünün aynı C2 altyapısını ve davranış kalıplarını paylaştığı bilinmektedir.
Dağıtıldıktan sonra, Gimmick ya bir arka plan programı olarak ya da hedeflenen kullanıcı tarafından sıklıkla başlatılan bir programın kimliğine bürünmek üzere tasarlanmış özelleştirilmiş bir uygulama biçiminde başlatılır. Kötü amaçlı yazılım, hedef ortamdaki ağ trafiğine daha fazla uyum sağlamak için Google Drive tabanlı C2 sunucusuyla yalnızca iş günlerinde iletişim kuracak şekilde yapılandırılmıştır.
Dahası, arka kapı, keyfi dosyaları almanın ve C2 sunucusundan komutları yürütmenin yanı sıra, güvenliği ihlal edilmiş makineden kendisini silmesine izin veren kendi kaldırma işleviyle birlikte gelir.
Kullanıcıları kötü amaçlı yazılımlara karşı korumak için Apple, yeni imzalar Kötü Amaçlı Yazılımları Temizleme Aracı (MRT) aracılığıyla enfeksiyonları engellemek ve kaldırmak için 17 Mart 2022 itibariyle XProtect olarak bilinen yerleşik kötü amaçlı yazılımdan koruma paketine.
Araştırmacılar, “Bu kötü amaçlı yazılımın taşınması ve sistemlerini yeni bir işletim sistemine (macOS) uyarlamakla ilgili çalışma hafif bir girişim değil ve arkasındaki tehdit aktörünün iyi kaynaklara sahip, becerikli ve çok yönlü olduğunu gösteriyor” dedi.
