Storm Cloud è stato identificato condurre nuove campagne di cyber spionaggio tramite nuovo malware Gimmick
Di recente, la società che si occupa di risposta agli incidenti e intelligence sulle minacce, Volexity ha scoperto un attore di minacce cinese che utilizza una variante macOS del malware noto come Gimmick.
Gimmick si adatta a MacOS per campagne di spionaggio
L’APT cinese noto come Storm Cloud è noto per condurre spionaggio informatico mirato contro le imprese asiatiche. La banda utilizza utilità integrate, malware su misura e strumenti open source nei suoi attacchi.
Gimmick è una famiglia di malware multipiattaforma che utilizza servizi cloud pubblici per il comando e il controllo (C&C) e offre agli aggressori molteplici opzioni. La versione macOS (oggetto di questa ricerca), scoperta su un MacBook Pro con macOS 11.6 (Big Sur), è scritta principalmente in Objective C, mentre le versioni precedenti di Windows erano scritte in .NET e Delphi. L’architettura C&C (comando e controllo), il comportamento e i percorsi dei file sono gli stessi in tutte le varianti.
Secondo i ricercatori, Gimmick è stato impostato per connettersi solo con il suo server C&C basato su Google Drive durante i giorni lavorativi al fine di integrarsi con l’attività di rete dell’organizzazione target (rendendo più difficile in questo modo il rilevamento tracciando il traffico di rete). L’analisi mostra che il funzionamento del malware è altamente asincrono e gli aggressori mantengono una directory di Google Drive per ogni sistema compromesso.
Sebbene Volexity abbia identificato le posizioni per la memorizzazione di credenziali, errori, definizioni proxy, file di comando e file temporanei, afferma che non tutte le varianti di Gimmick li utilizzano tutte le funzionalità a disposizione. Il malware può accettare istruzioni C&C per raccogliere informazioni di sistema, caricare o scaricare file, eseguire comandi shell ed eseguire altre attività C&C.
Secondo i ricercatori, Gimmick è una famiglia di malware complicata, a causa della sua natura asincrona. La sua conversione in macOS indica che Storm Cloud, l’unico attore di minacce visto che lo ha implementato finora identificato, è un avversario flessibile e dotato di risorse adeguate. Volexity ha affermato che la scorsa settimana Apple ha pubblicato firme aggiornate per XProtect e MRT al fine di difendere i device Mac da Gimmick.