详细内容或原文请订阅后点击阅览
地平线上的风暴云:GIMMICK 恶意软件袭击 macOS
2021 年末,Volexity 在其网络安全监控服务所监控的环境中发现了入侵行为。Volexity 检测到一个运行 frp(也称为快速反向代理)的系统,随后不久又检测到内部端口扫描。此流量被确定为未经授权,系统(运行 macOS 11.6(Big Sur)的 MacBook Pro)被隔离以进行进一步取证分析。Volexity 能够运行 Surge Collect 来获取系统内存 (RAM) 并从机器中选择感兴趣的文件进行分析。这导致发现了 Volexity 称为 GIMMICK 的恶意软件植入的 macOS 变体。Volexity 之前曾多次遇到过该恶意软件家族的 Windows 版本。GIMMICK 被 Storm Cloud 用于针对性攻击,Storm Cloud 是一个中国间谍威胁行为者,以攻击亚洲各地的组织而闻名。它是一个功能丰富的多平台恶意软件家族,使用公共云托管服务(例如 Google […]The post Storm Cloud on the Horizon:GIMMICK 恶意软件袭击 macOS 首次出现在 Volexity 上。
来源:Volexity _恶意软件风暴云即将来临:GIMMICK 恶意软件袭击 macOS
2022 年 3 月 22 日
作者:Damien Cash、Steven Adair、Thomas Lancaster
2021 年末,Volexity 在其网络安全监控服务所监控的环境中发现了入侵行为。Volexity 检测到一个运行 frp(也称为快速反向代理)的系统,随后不久检测到内部端口扫描。此流量被确定为未经授权,系统(运行 macOS 11.6(Big Sur)的 MacBook Pro)被隔离以进行进一步取证分析。Volexity 能够运行 Surge Collect 来获取系统内存 (RAM) 并从机器中选择感兴趣的文件进行分析。这导致发现了 Volexity 称为 GIMMICK 的恶意软件植入的 macOS 变体。Volexity 之前曾多次遇到过该恶意软件家族的 Windows 版本。
frp frp Surge Collect GIMMICKStorm Cloud 是一个中国间谍威胁行为者,以攻击亚洲各地的组织而闻名,它使用 GIMMICK 进行针对性攻击。它是一个功能丰富的多平台恶意软件家族,使用公共云托管服务(如 Google Drive)作为命令和控制 (C2) 通道。新发现的 macOS 变体主要用 Objective C 编写,Windows 版本用 .NET 和 Delphi 编写。尽管所使用的编程语言和目标操作系统存在核心差异,但由于所有变体都使用共享的 C2 架构、文件路径和行为模式,Volexity 以相同的名称跟踪该恶意软件。
风暴云图 1. GIMMICK 工作流程
图 1. GIMMICK 工作流程Volexity 从磁盘获取的文件的 SHA1 哈希值为“fe3a3e65b86d2b07654f9a6104c8cb392c88b7e8”。
17 虽然默认情况下处于启用状态,但用户可以通过验证“安装系统数据文件和安全更新”框是否已选中来确认他们受到自动保护(说明可在此处找到)。 此处)。 此处 )。