연구원들은 'Storm Cloud'로 알려진 중국 스파이 위협 행위자가 사용하는 맞춤형 도구로 여겨지는 GIMMICK라는 이전에 알려지지 않은 macOS 멀웨어 변종을 발견했습니다.
이 악성코드는 2021년 말 사이버 스파이 캠페인에서 손상된 macOS 11.6(Big Sur)을 실행하는 MacBook Pro의 RAM에서 복구한 Volexity의 연구원에 의해 발견되었습니다.
정교한 위협 행위자가 사용하는 맞춤형 멀웨어의 노출은 일반적이지 않습니다. 이 그룹은 매우 조심스럽게 작동하여 최소한의 흔적을 남기고 맬웨어의 잔재를 제거하여 도구를 비밀로 유지하고 IoC 기반 탐지를 회피합니다.
그러나 때로는 가장 진보된 사이버 범죄자도 이를 잘못 이해하고 GIMICK의 경우와 같이 보안 연구원이 분석할 수 있는 멀웨어를 남깁니다.
GIMICK 악성코드 분석
GIMICK은 Objective C(macOS) 또는 .NET 및 Delphi(Windows)로 작성된 크로스 플랫폼 멀웨어입니다.
모든 변종은 동일한 C2 아키텍처, 파일 경로, 동작 패턴을 사용하고 Google 드라이브 서비스를 심하게 남용하므로 코드 차이에도 불구하고 도구로 추적합니다.
GIMMICK는 사용자가 직접 실행하거나 시스템의 데몬으로 실행되며 일반적으로 대상 시스템에서 널리 사용되는 응용 프로그램을 모방하는 'PLIST'라는 이진 파일로 설치됩니다.
그런 다음 멀웨어는 여러 데이터 복호화 단계를 수행하여 스스로를 초기화하고 마지막으로 암호화된 OAuth2 자격 증명을 사용하여 Google 드라이브와 세션을 설정합니다.
Google 드라이브 자격 증명이 포함된 JSON 개체
(볼렉시티)
초기화 후 GIMMICK는 DriveManager, FileManager 및 GCDTimerManager라는 3개의 멀웨어 구성 요소를 로드하며 전자는 다음 작업을 담당합니다.
- Google 드라이브 및 프록시 세션을 관리합니다.
- 메모리에 Google 드라이브 디렉토리 계층 구조의 로컬 맵을 유지합니다.
- Google 드라이브 세션에서 작업을 동기화하기 위한 잠금을 관리합니다.
- Google 드라이브 세션에서 업로드 및 다운로드 작업을 처리합니다.
감염된 각 시스템의 하드웨어 UUID는 해당 Google 드라이브 디렉토리의 식별자로 사용됩니다.
FileManager는 C2 정보 및 명령 작업이 저장된 로컬 디렉터리를 관리하고 GCDTimerManager는 다양한 GCD 개체를 관리합니다.
GIMICK의 복잡한 워크플로우 (볼렉시티)
AES 암호화 형식으로 시스템에 도달하는 GIMMICK에서 지원하는 명령은 다음과 같습니다.
- 기본 시스템 정보 전송
- C2에 파일 업로드
- 클라이언트에 파일 다운로드
- 쉘 명령을 실행하고 출력을 C2에 씁니다.
- Google 드라이브 타이머 간격 클라이언트 세트
- 클라이언트 정보 하트비트 메시지에 대한 클라이언트 타이머 간격 설정
- 클라이언트 작업 기간 정보 덮어쓰기
맬웨어 작업의 비동기적 특성으로 인해 명령 실행에는 단계적 접근이 필요합니다. 개별 단계는 비동기식으로 발생하지만 각 명령은 동일하게 따릅니다. Volexity는 기술 보고서에서 설명합니다.
GIMMICK를 강력하면서도 복잡하게 만드는 것은 바로 이 비동기식 설계이므로 새로운 플랫폼(이 경우 macOS)으로 이식하는 것은 Storm Cloud의 기술과 리소스를 강조하는 위업입니다.
Volexity는 Storm Cloud가 타사 개발자로부터 멀웨어를 구입하여 독점적으로 사용할 가능성을 배제해서는 안 된다고 지적합니다.
속임수로부터 자신을 보호하십시오
Apple은 또한 2022년 3월 17일부터 맬웨어를 차단 및 제거할 수 있는 XProtect 및 MRT용 새 서명을 사용하여 지원되는 모든 macOS 버전에 대한 새로운 보호 기능을 구현했습니다. 이러한 서명을 받았는지 확인하려면 페이지의 지침을 따르십시오. 애플 지원에서.
GIMMICK 및 이와 유사한 맬웨어가 macOS에 발판을 마련하지 못하도록 방지하려면 먼저 장치에 사용 가능한 시스템 업데이트를 적용하십시오. 그러면 최신 탐지 서명도 받게 됩니다.
그런 다음 XProtect 및 MRT가 활성화되어 있고 시스템에서 활발하게 실행 중인지 확인하십시오.
고급 측정에는 네트워크 트래픽 모니터링 도구와 EDR 솔루션을 사용하여 엔드포인트에서 데몬 실행을 감지하는 것이 포함됩니다.
Volexity는 방어자가 맬웨어를 감지하고 차단하는 데 도움이 되는 GIMMICK IoC(Indicator of Compromise) 및 YARA 규칙 목록도 발표했습니다.
어떻게 생각해?
