Araştırmacılar, ‘Storm Cloud’ olarak bilinen Çinli bir casusluk tehdidi aktörü tarafından kullanılan özel bir araç olduğuna inanılan GIMMICK adlı önceden bilinmeyen bir macOS kötü amaçlı yazılım çeşidi keşfettiler.
Kötü amaçlı yazılım, 2021 sonlarında siber casusluk kampanyasında güvenliği ihlal edilen macOS 11.6 (Big Sur) çalıştıran bir MacBook Pro’nun RAM’inden alan Volexity araştırmacıları tarafından keşfedildi.
Gelişmiş tehdit aktörleri tarafından kullanılan özel kötü amaçlı yazılımların açığa çıkması yaygın değildir. Bu gruplar, araçlarını gizli tutmak ve IoC tabanlı algılamadan kaçınmak için çok az iz bırakarak ve kötü amaçlı yazılımın kalıntılarını silerek çok dikkatli çalışır.
Bununla birlikte, bazen en gelişmiş siber suçlular bile hata yapar ve GIMMICK’te olduğu gibi güvenlik araştırmacıları tarafından incelenebilecek kötü amaçlı yazılımları geride bırakır.
GIMMICK kötü amaçlı yazılımının incelenmesi
GIMMICK, Objective C (macOS) veya .NET ve Delphi (Windows) ile yazılmış çok platformlu bir kötü amaçlı yazılımdır.
Tüm varyantlar aynı C2 mimarisini, dosya yollarını, davranış kalıplarını kullanır ve Google Drive hizmetlerini yoğun bir şekilde kötüye kullanır, bu nedenle kod farklılıklarına rağmen tek bir araç olarak izlenir.
GIMMICK ya doğrudan kullanıcı tarafından ya da sistemde bir arka plan programı olarak başlatılır ve kendisini genellikle hedef makinede yoğun olarak kullanılan bir uygulamayı taklit eden ‘PLIST’ adlı bir ikili dosya olarak kurar.
Ardından, kötü amaçlı yazılım birkaç veri kod çözme adımı gerçekleştirerek başlatılır ve sonunda sabit kodlanmış OAuth2 kimlik bilgilerini kullanarak Google Drive’da bir oturum oluşturur.
Başlatmadan sonra GIMMICK, DriveManager, FileManager ve GCDTimerManager olmak üzere üç kötü amaçlı yazılım bileşeni yükler ve bunlardan ilki aşağıdaki eylemlerden sorumludur:
- Google Drive ve proxy oturumlarını yönetin.
- Google Drive dizin hiyerarşisinin yerel bir haritasını bellekte tutun.
- Google Drive oturumunda görevleri senkronize etmek için kilitleri yönetin.
- Google Drive oturumuna ve oturumundan indirme ve yükleme görevlerini gerçekleştirin.
Etkilenen her sistemin donanım UUID’si, kendisine karşılık gelen Google Drive dizini için bir tanımlayıcı olarak kullanılır.
FileManager, C2 bilgilerinin ve komut görevlerinin depolandığı yerel dizini yönetir ve GCDTimerManager, çeşitli GCD nesnelerinin yönetimini üstlenir.
AES şifreli olarak sisteme gelen GIMMICK tarafından desteklenen komutlar şunlardır:
- Temel sistem bilgilerini iletin
- Dosyayı C2’ye yükleyin
- Dosyayı istemciye indirin
- Bir kabuk komutu yürütün ve çıktıyı C2’ye yazın
- İstemci Google Drive zamanlayıcı aralığını ayarla
- İstemci bilgisi kalp atışı mesajı için istemci zamanlayıcı aralığını ayarlayın
- İstemci çalışma süresi bilgilerinin üzerine yaz
“Kötü amaçlı yazılımın eşzamansız doğası gereği, komut yürütme aşamalı bir yaklaşım gerektirir. Bireysel adımlar eşzamansız olarak gerçekleşse de, her komut aynı şeyi takip eder.” Volexity’yi açıklar teknik raporunda
GIMMICK’i bu kadar sağlam ve aynı zamanda karmaşık yapan bu eşzamansız tasarımdır, bu nedenle onu yeni bir platforma, bu durumda macOS’a taşımak, Storm Cloud’un becerilerini ve kaynaklarını vurgulayan bir başarıdır.
Volexity, Storm Cloud’un kötü amaçlı yazılımı üçüncü taraf bir geliştiriciden satın alma ve özel olarak kullanma olasılığının göz ardı edilmemesi gerektiğini belirtiyor.
GIMMICK’e karşı koruyun
Apple ayrıca, XProtect ve MRT için yeni imzalarla desteklenen tüm macOS sürümlerine, 17 Mart 2022’den bu yana kötü amaçlı yazılımları engelleyebilecek ve kaldırabilecek yeni korumalar da sundu. Bu imzaları aldığınızdan emin olmak için aşağıdaki adımları izleyin: Apple’ın destek sayfası talimatları.
GIMMICK ve benzeri kötü amaçlı yazılımların macOS’unuzda bir dayanak oluşturmasını önlemek için, en son algılama imzalarını da getirecek olan, cihazınız için mevcut sistem güncellemelerini uygulayarak başlayın.
Ardından, XProtect ve MRT’nin etkinleştirildiğinden ve sistemde aktif olarak çalıştığından emin olun.
Gelişmiş önlemler, uç noktalarda arka plan programlarının başlatılmasını tespit etmek için ağ trafiği izleme araçlarının ve EDR çözümlerinin kullanılmasını içerir.
Volexity ayrıca GIMMICK’in uzlaşma göstergelerinin (IoC’ler) bir listesini yayınladı ve YARA kurallarısavunucuların kötü amaçlı yazılımı tespit etmesine ve durdurmasına yardımcı olabilir.