نوع جدید بدافزار Gimmick چینی، کاربران macOS را هدف قرار می دهد


به این مطلب امتیاز دهید

محققان جزئیات یک نوع جدید از بدافزار Gimmick را برای سیستم عامل macos را که توسط یک عامل جاسوسی چینی شناخته شده برای حمله به سازمان‌ های سراسر آسیا ساخته شده است، افشا کرده‌ اند.

شرکت امنیت سایبری Volexity با نسبت دادن این حملات به گروهی که تحت عنوان Storm Cloud شناخته می‌ شوند، بدافزار Gimmick را به عنوان یک خانواده بدافزار با ویژگی‌ های مختلف و چند پلتفرمی که از سرویس های Cloud Hosting عمومی (مانند Google Drive) برای کانال های فرمان و کنترل (C2) می‌ کنند، توصیف کرد.

این شرکت امنیت سایبری گفت که نمونه را از طریق تجزیه و تحلیل حافظه یک MacBook Pro با سیستم عامل macOS 11.6 (Big Sur) به عنوان بخشی از یک کمپین نفوذی که در اواخر سال 1399 انجام شد، بازیابی کرده است.

Damien Cash، Steven Adair و Thomas Lancaster، محققان Volexity در گزارشی گفتند: “Storm Cloud یک عامل تهدید پیشرفته و همه کاره است که مجموعه ابزار خود را برای مطابقت با سیستم عامل های مختلف مورد استفاده توسط اهداف خود تطبیق می دهد.”

“آن ها از ابزار های سیستم عامل داخلی، ابزار های منبع باز، و بدافزار های سفارشی برای دستیابی به اهداف خود استفاده می کنند. استفاده از Platforms های ابری برای C2، مانند استفاده از Google Drive، احتمال عملیات شناسایی نشده توسط راه حل های Monitoring شبکه را افزایش می دهد.”

بر خلاف نسخه ویندوزی خود که در هر دو با NET. و Delphi نوشته شده است، نسخه macOS به زبان Objective C است. جدای از انتخاب زبان های برنامه نویسی، دو نسخه بدافزار دارای زیرساخت های C2 و الگو های رفتاری مشابهی هستند.

پس از استقرار، بدافزار Gimmick یا به عنوان یک Daemon یا در قالب یک برنامه سفارشی راه‌ اندازی می‌ شود که برای جا زدن خود به جای برنامه‌ ای که اغلب توسط کاربر هدف راه‌ اندازی می‌ شود. این بدافزار طوری پیکربندی شده است که با سرور C2 مبتنی بر Google Drive خود فقط در روزهای کاری ارتباط برقرار کند تا بیشتر با ترافیک شبکه در محیط هدف ترکیب شود.

علاوه بر این، Backdoor، علاوه بر بازیابی فایل های دلخواه و اجرای دستورات از سرور C2، دارای قابلیت Uninstall مخصوص خود است که به آن اجازه می دهد تا خود را از دستگاه در معرض خطر پاک کند.

برای محافظت از کاربران در برابر بدافزار، اپل امضاهای جدیدی را برای مجموعه حفاظتی داخلی ضد بدافزار خود موسوم به XProtect از 26 اسفند ماه 1400 برای مسدود کردن و حذف آلودگی ها از طریق ابزار Malware Removal Tool (MRT) صادر کرده است.

محققان گفتند: «عملیات Port کردن بدافزار با سیستم عامل macOS کار ساده ای نیست و نشان میدهد عامل تهدید دارای منابع نیرو های انسانی ماهر و همه کاره است»

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.