首页 > 安全 > 正文

中国联系的Gimmick植入现在目标Macos¶

最后更新 :2022.03.23

Gimmick是由中国联系的APT Storm云开发的新发现的麦斯科斯植入物,并习惯于跨亚洲的组织。

在2021年后,virexity研究人员在他们监测和发现的环境中调查了一种入侵MacBook Pro运行MacOS 11.6(大sur)遭到遭受以前未知的MacOS恶意软件遭到妥协的,被追踪为  gimmick。研究人员解释说,他们在过去的调查期间他们发现了相同植入物的Windows版本。

专家将侵入作为暴风云所追踪的中国关联APT小组的侵扰,这些组织将以亚洲目标组织所知。

植入物的宏版本主要以目标C编写,而Windows Oner都在.NET和Delphi中。植入物使用公共云托管服务(例如Google Drive),用于C2逃避检测。

volexity与Apple致力于实施保护NS为Gimmick Inclantant,于3月17日,2022年,Apple将新的签名推向Xprotect和MRT以删除恶意软件。

GIMMICK

Gimmick应该推出直接由用户而不是守护程序,然后通过删除包含内容的Plist文件将其自身作为启动代理安装。

在麦斯卡斯上,发现Gimmick支持作为系统上的守护程序或守护程序用户。应该由用户直接推出噱头而不是守护程序,它将通过删除具有内容的Plist文件,类似于下面所示的Plist文件,To  / Users /< / labructAgents。读取volexity发布的分析。二进制,Plist和代理的名称将各种样本有所不同。在vlexity观察到的情况下,植入物被定制以模仿目标用户通常发射的应用程序。

在初始化期间,专家分析的植入物解码了几条使用的数据E植入其使用旋转加法算法进行操作。植入物还支持通过在命令行上添加参数“卸载”来访问的卸载函数。该命令指示恶意代码删除自己和所有关联的文件,然后杀死该过程。

Storm云是一个高级和多功能的威胁演员, 调整其工具集以匹配其使用的不同操作系统目标。结束专家发布的分析。将此恶意软件移植到新操作系统(MACOS)中涉及的工作并非灯具,并暗示其背后的威胁演员很好,擅长和多才多艺。

- END -

看更多