Китайский бэкдор Gimmick портирован на macOS

Татьяна Никитина 23 Марта 2022 - 19:17

Таргетированные атаки

...

Китайский бэкдор Gimmick портирован на macOS

При разборе недавней атаки на сеть клиента эксперты Volexity обнаружили на взломанном MacBook Pro вредоносный имплант. Анализ показал, что это macOS-версия бэкдора Gimmick, используемого китайской APT-группой Storm Cloud.

Интересы группировки, деятельность которой в ИБ-компании отслеживают под условным названием Storm Cloud, ограничены территорией Азии. Проводя шпионские атаки, хакеры обычно используют штатные средства ОС, инструменты с открытым исходным кодом и кастомные импланты, а для нужд C2 — публичные веб-сервисы вроде Google Диска.

Как оказалось, новоявленный зловред по поведению мало чем отличается от уже известного Windows-собрата, к тому же делит с ним C2-инфраструктуру. Только написан он не на .NET и Delphi, а на Objective-C.

В системе новый Gimmick работает как демон или кастомное приложение, выдающее себя за программу, которую жертва регулярно использует. Чтобы надежнее скрыть C2-коммуникации в легитимном трафике, вредонос подключается к Google Диску только в рабочие дни недели.

Набор функций, которые выполняет macOS-бэкдор, вполне стандартен: он умеет сливать на сторону информацию о зараженной машине, загружать произвольные файлы, выполнять шелл-команды. Найденный образец обладал также механизмом деинсталляции, позволявшим зловреду стирать все следы своего присутствия в системе.

Новобранец, как и Windows-предшественник, выполняется асинхронно, то есть не ждет завершения некоего процесса, а продолжает работу независимо от него. Для авторизации в облаке Google он использует вшитый идентификатор OAuth2, а для шифрования внешних файлов создает ключ AES.

Для каждого случая заражения Gimmick на Google Диске создается отдельная папка. Управлять ключевыми аспектами C2-протокола вредоносу помогают три кастомных класса ObjectiveC — DriveManager, FileManager и GCDTimerManager.

Первый отвечает за сессии Google Диска и прокси, правильность отображения иерархии папок Google Диска в локальной памяти, синхронизацию с веб-сервисом, загрузку и отправку данных. В зону ответственности FileManager входит локальная иерархия папок с информацией о принятых командах и ходе их выполнения. GCDTimerManager управляет различными объектами GCD, которые обеспечивают стабильность работы импланта, и следит за тем, чтобы время его активности не превышало заданные пределы.

О своей находке эксперты сообщили в Apple, а затем помогли вендору создать новые сигнатуры для его защитных решений. Неделю назад результат был добавлен в базы XProtect и MRT (Malware Removal Tool).

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 10 Февраля 2026 - 13:25

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Сегодня в России начали замедлять работу Telegram

Власти приняли решение начать работу по замедлению мессенджера Telegram в России. Об этом РБК сообщили источник в ИТ-индустрии и два источника в профильных ведомствах. По словам собеседников издания, Роскомнадзор планирует приступить к частичному ограничению работы сервиса уже во вторник, 10 февраля.

Ещё один источник утверждает, что меры по замедлению Telegram уже применяются. РБК направил официальный запрос в Роскомнадзор, однако на момент публикации ответа не получил.

Ранее регулятор уже вводил точечные ограничения в отношении мессенджеров. Так, в августе 2025 года Роскомнадзор ограничил звонки в Telegram и WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России).

Тогда в ведомстве объясняли это тем, что мессенджеры стали основными каналами для мошенничества, вымогательства и вовлечения граждан в диверсионную и террористическую деятельность.

В октябре Роскомнадзор сообщил о частичных ограничениях Telegram и WhatsApp «в целях противодействия преступникам». При этом в декабре глава комитета Госдумы по информационной политике Сергей Боярский заявлял, что о полной блокировке Telegram пока речи не идёт. По его словам, мессенджер давно превратился в полноценную социальную сеть, в развитие которой вложены значительные ресурсы.

В середине января член комитета Госдумы по информполитике Андрей Свинцов утверждал, что Telegram замедляют из-за недостаточно быстрой блокировки анонимных каналов. В ответ на это в Роскомнадзоре тогда заявили РБК, что новые ограничительные меры в отношении Telegram не применяются.

Однако спустя несколько дней зампред Совета по развитию цифровой экономики при Совфеде Артём Шейкин сообщил, что работа Telegram в России постепенно блокируется, связав это с отказом мессенджера выполнять требования по пресечению преступной деятельности.

На фоне этих заявлений 9 и 10 февраля пользователи в России массово жаловались на сбои в работе Telegram, следует из данных сервисов Downdetector и «Сбой.рф». В основном сообщалось о проблемах с загрузкой медиафайлов и снижении скорости работы сервиса. Аналогичные жалобы фиксировались и ранее — в середине января и в конце декабря.

Официального подтверждения начала замедления Telegram со стороны Роскомнадзора пока нет, однако совокупность заявлений и пользовательских жалоб указывает на то, что мессенджер вновь оказался под давлением регулятора.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »