Tweet
Các nhà nghiên cứu vừa phát hiện ra một loại virus macOS chưa từng được biết đến trước đây. Nó được đặt tên là GIMMICK và là sản phẩm của nhóm hacker gián điệp mạng Storm Cloud tới từ Trung Quốc.
Các nhà nghiên cứu bảo mật tại hãng Veloxity đã phát hiện ra GIMMICK. Họ lấy nó từ RAM của một chiếc MacBook Pro chạy macOS 11.6 bị xâm nhập trong một chiến dịch gián điệp mạng cuối năm 2021.
Rất khó để có cơ hội tiếp xúc với một virus tùy chỉnh được sử dụng bởi những nhóm hacker trình độ cao. Lý do là vì chúng hoạt động rất cẩn thận, ít để lại dấu vết và xóa sạch các mã độc để giữ bí mật cho các công cụ của chúng và tránh sự phát hiện dựa trên IoC.
Tuy nhiên, đôi khi ngay cả những hacker khét tiếng nhất cũng gặp sai lầm và bỏ quên virus lại tạo cơ hội cho các nhà nghiên cứu tiến hành phân tích. Trường hợp của GIMMICK là như vậy.
Mổ xẻ virus GIMMICK
GIMMICK là một virus đa nền tảng được viết bằng Objective C (macOS) hoặc .NET và Delphi (Windows).
Tất cả các biến thể của GIMMICK đều sử dụng chung kiến trúc C2, đường dẫn tệp, hành vi mẫu và lạm dụng nhiều dịch vụ của Google Drive. Vì thế, mặc dù có khác biệt về code nhưng tất cả các biến thể GIMMICK đều được theo dõi dưới dạng một virus duy nhất.
Trên hệ thống, GIMMICK được khởi chạy trực tiếp bởi người dùng hoặc dưới dạng daemon. Sau đó, nó tự cài đặt dưới dạng tệp nhị phân có tên "PLIST", thường bắt chước một ứng dụng được sử dụng nhiều trên máy của nạn nhân.
Tiếp theo, virus khởi chạy bằng cách thực hiện một số bước giải mã dữ liệu và cuối cùng thiết lập một phiên kết nối với Google Drive, sử dụng thông tin đăng nhập OAuth2 được mã hóa cứng.
Sau khi khởi tạo, GIMMICK tải ba thành phần mã độc có tên là DriveManager, FileManager và GCDTimerManager. Trong đó, DriveManager thực hiện các nhiệm vụ dưới đây:
Mỗi UUID phần cứng của máy tính bị nhiễm sẽ được dùng làm mã nhận dạng cho thư mục Google Drive tương ứng với nó.
Trong khi đó, FileManager quản lý thư mục cục bộ nơi lưu trữ thông tin C2 và các tác vụ lệnh và GCDTimerManager đảm nhận việc quản lý các đối tượng GCD khác nhau.
Các lệnh được hỗ trợ bởi GIMMICK, được gửi đến hệ thống dưới dạng mã hóa AES, được liệt kê dưới đây:
Thiết kế kiểu không đồng bộ đã khiến GIMMICK trở nên mạnh mẽ và phức tạp. Việc đưa virus này lên macOS cũng là một kỳ tích cho thấy sức mạnh về kỹ năng và tài nguyên của Storm Cloud.
Volexity không loại trừ khả năng Storm Cloud mua mã độc từ một đơn vị phát triển khác và sử dụng nó độc quyền.
Để chống lại GIMMICK, Apple khuyên người dùng nên cập nhật macOS thường xuyên. Điều này sẽ giúp bạn được tiếp cận với các bản vá lỗi mới nhất và những chữ ký số mới nhất. Hơn nữa, hãy đảm bảo rằng XProtect và MRT đã được bật và hoạt động ổn định trên hệ thống.
Các nhà nghiên cứu bảo mật tại hãng Veloxity đã phát hiện ra GIMMICK. Họ lấy nó từ RAM của một chiếc MacBook Pro chạy macOS 11.6 bị xâm nhập trong một chiến dịch gián điệp mạng cuối năm 2021.
Rất khó để có cơ hội tiếp xúc với một virus tùy chỉnh được sử dụng bởi những nhóm hacker trình độ cao. Lý do là vì chúng hoạt động rất cẩn thận, ít để lại dấu vết và xóa sạch các mã độc để giữ bí mật cho các công cụ của chúng và tránh sự phát hiện dựa trên IoC.
Tuy nhiên, đôi khi ngay cả những hacker khét tiếng nhất cũng gặp sai lầm và bỏ quên virus lại tạo cơ hội cho các nhà nghiên cứu tiến hành phân tích. Trường hợp của GIMMICK là như vậy.
Mổ xẻ virus GIMMICK
GIMMICK là một virus đa nền tảng được viết bằng Objective C (macOS) hoặc .NET và Delphi (Windows).
Tất cả các biến thể của GIMMICK đều sử dụng chung kiến trúc C2, đường dẫn tệp, hành vi mẫu và lạm dụng nhiều dịch vụ của Google Drive. Vì thế, mặc dù có khác biệt về code nhưng tất cả các biến thể GIMMICK đều được theo dõi dưới dạng một virus duy nhất.
Trên hệ thống, GIMMICK được khởi chạy trực tiếp bởi người dùng hoặc dưới dạng daemon. Sau đó, nó tự cài đặt dưới dạng tệp nhị phân có tên "PLIST", thường bắt chước một ứng dụng được sử dụng nhiều trên máy của nạn nhân.
Tiếp theo, virus khởi chạy bằng cách thực hiện một số bước giải mã dữ liệu và cuối cùng thiết lập một phiên kết nối với Google Drive, sử dụng thông tin đăng nhập OAuth2 được mã hóa cứng.
Sau khi khởi tạo, GIMMICK tải ba thành phần mã độc có tên là DriveManager, FileManager và GCDTimerManager. Trong đó, DriveManager thực hiện các nhiệm vụ dưới đây:
- Quản lý các phiên Google Drive và proxy.
- Duy trì bản đồ cục bộ của hệ thống phân cấp thư mục Google Drive trong bộ nhớ.
- Quản lý khóa để đồng bộ các tác vụ trên phiên Google Drive.
- Xử lý các tác vụ tải xuống và tải lên đến và đi từ phiên Google Drive.
Mỗi UUID phần cứng của máy tính bị nhiễm sẽ được dùng làm mã nhận dạng cho thư mục Google Drive tương ứng với nó.
Trong khi đó, FileManager quản lý thư mục cục bộ nơi lưu trữ thông tin C2 và các tác vụ lệnh và GCDTimerManager đảm nhận việc quản lý các đối tượng GCD khác nhau.
Các lệnh được hỗ trợ bởi GIMMICK, được gửi đến hệ thống dưới dạng mã hóa AES, được liệt kê dưới đây:
- Truyền thông tin hệ thống cơ sở.
- Tải tệp lên C2.
- Tải tệp xuống máy khách.
- Thực thi một lệnh shell và ghi đầu ra vào C2.
- Đặt khoảng thời gian hẹn giờ trên Google Drive trên máy khách.
- Ghi đè thông tin thời gian làm việc trên máy khách.
Thiết kế kiểu không đồng bộ đã khiến GIMMICK trở nên mạnh mẽ và phức tạp. Việc đưa virus này lên macOS cũng là một kỳ tích cho thấy sức mạnh về kỹ năng và tài nguyên của Storm Cloud.
Volexity không loại trừ khả năng Storm Cloud mua mã độc từ một đơn vị phát triển khác và sử dụng nó độc quyền.
Để chống lại GIMMICK, Apple khuyên người dùng nên cập nhật macOS thường xuyên. Điều này sẽ giúp bạn được tiếp cận với các bản vá lỗi mới nhất và những chữ ký số mới nhất. Hơn nữa, hãy đảm bảo rằng XProtect và MRT đã được bật và hoạt động ổn định trên hệ thống.
Attached Files