GIMMICK Malware

macOSデバイスを標的とするこれまで知られていなかったマルウェアがinfosecの研究者によって発見されました。 GIMMICKマルウェアとして追跡されているこの脅威は、 StormCloudとして知られる中国のサイバースパイグループの悪意のある武器の一部であるとされています。脅威の詳細は、MacBookProデバイスのRAMからマルウェアを抽出することができた研究者によるレポートで公開されました。このデバイスは、2021年後半に行われたスパイキャンペーンの一環として感染したと推定されています。

技術的な詳細

GIMMICKマルウェアはマルチプラットフォームの脅威です。そのmacOSバリアントはObjectiveCを使用して記述されていますが、Windowsをターゲットとするバリアントは.NETとDelphiを使用して作成されています。特定のコードの違いが存在するにもかかわらず、すべてのバリアントは同じ動作パターン、コマンドアンドコントロール（C2、C＆C）インフラストラクチャおよびファイルパスを示します。また、マルウェアはGoogleドライブのサービスを悪用していることにも注意してください。

GIMMICKは、ターゲットシステムにデプロイされた後、DriveManager、FileManager、およびGCDTimerManagerの3つの別個のマルウェアコンポーネントをロードします。コンポーネントの名前は、それらのタスクと機能を反映しています。 FileManagerは、コマンドタスクに関連するC2情報とデータを含むローカルディレクトリを管理します。 GCDTimerMangerは、必要なGCDオブジェクトの管理を監視します。一方、DriveManagerは、Googleドライブに関連するさまざまなアクションを担当します。具体的には、Googleドライブとプロキシセッションを管理し、特定のGoogleドライブディレクトリの階層のローカルマップを維持し、Googleドライブセッションを介してダウンロードとアップロードのタスクを処理します。

脅迫コマンド

研究者によると、GIMMICKマルウェア操作全体の非同期性により、コマンド実行のための段階的なアプローチが必要になります。これらのコマンドは、AES暗号化形式でシステムに送信され、合計7つです。攻撃者は、侵害されたデバイスに関する基本システム情報の送信、C2サーバーへのファイルのアップロード、感染したシステムへの選択されたファイルのダウンロード、シェルコマンドの実行などをマルウェアに指示できます。