برنامج Geacon Mac الخبيث

وفقًا للباحثين في مجال الأمن السيبراني ، فإن Geacon Malware عبارة عن تطبيق لإشارة Cobalt Strike ، التي تم إنشاؤها باستخدام لغة برمجة Go. ظهر التهديد كأداة تهديد قوية لاستهداف أجهزة macOS. في حين تم تصميم Geacon و Cobalt Strike في الأصل كأدوات مساعدة مشروعة تستخدمها المنظمات لاختبار أمان شبكتها من خلال الهجمات المحاكاة ، فقد استغلها الفاعلون ذوو العقلية الشريرة بشكل متزايد في أنشطة شائنة مختلفة.

لسنوات ، استفادت الجهات الفاعلة في التهديد من Cobalt Strike لتعريض أنظمة Windows للخطر ، مما أدى إلى صناعة الأمن السيبراني لمكافحة هذا التهديد المستمر باستمرار. ومع ذلك ، فإن الارتفاع الأخير في استخدام Geacon يسلط الضوء على النطاق الواسع للهجمات التي تستهدف أجهزة macOS. يشير هذا إلى الحاجة إلى يقظة معززة وتدابير استباقية لمواجهة التكتيكات المتطورة التي تستخدمها الجهات الفاعلة في التهديد والتي تستفيد من هذه الأدوات. تم نشر تفاصيل حول برنامج Geacon Malware وقدراته الضارة في تقرير للباحثين الذين كانوا يراقبون نشاط التهديد.

متغيران من Geacon Malware لوحظ في البرية

الملف الأول المرتبط بـ Geacon هو برنامج AppleScript صغير يسمى "Xu Yiqing's Resume_20230320.app." والغرض منه هو التحقق من أنه يعمل بالفعل على نظام macOS. بمجرد تأكيد ذلك ، يستمر الملف في استرداد حمولة غير موقعة تُعرف باسم "Geacon Plus" من خادم الأوامر والتحكم (C2) للمهاجمين ، والذي يحتوي على عنوان IP مصدره الصين.

تم ربط عنوان C2 المحدد (47.92.123.17) سابقًا بهجمات Cobalt Strike التي تستهدف أجهزة Windows. يشير هذا الارتباط إلى وجود اتصال أو تشابه محتمل بين البنية التحتية للهجوم المرصود والحالات السابقة لنشاط Cobalt Strike.

قبل الشروع في "نشاط التنبيه" ، تستخدم الحمولة أسلوبًا خادعًا لتضليل الضحايا من خلال عرض ملف PDF خادع. يتنكر المستند المعروض في صورة سيرة ذاتية لشخص يدعى Xy Yiqing ، بهدف تحويل انتباه الضحية عن الإجراءات التهديدية التي يقوم بها البرنامج الضار في الخلفية.

تمتلك حمولة Geacon المحددة هذه مجموعة من القدرات ، بما في ذلك دعم اتصالات الشبكة ، وأداء وظائف تشفير البيانات وفك تشفيرها ، وتمكين تنزيل الحمولات الإضافية ، وتسهيل استخراج البيانات من النظام المخترق.

برنامج Geacon الضار المختبئ داخل تطبيق أحصنة طروادة

يتم نشر حمولة Geacon Malware الثانية من خلال SecureLink.app و SecureLink_Client ، الإصدارات المعدلة من تطبيق SecureLink الشرعي المستخدم للدعم الآمن عن بُعد. ومع ذلك ، فإن هذه النسخة ذات أحصنة طروادة تتضمن نسخة من البرنامج الضار "Geacon Pro". تستهدف هذه الحمولة الخاصة على وجه التحديد أنظمة Mac المستندة إلى Intel والتي تعمل بنظام التشغيل OS X 10.9 (Mavericks) أو الإصدارات الأحدث.

عند تشغيل التطبيق ، فإنه يطلب أذونات مختلفة ، بما في ذلك الوصول إلى كاميرا الكمبيوتر والميكروفون وجهات الاتصال والصور والتذكيرات وحتى امتيازات المسؤول. عادةً ما تكون هذه الأذونات محمية بواسطة إطار عمل خصوصية Apple للشفافية والموافقة والتحكم (TCC) ومنحها يشكل مخاطر كبيرة.

ومع ذلك ، على الرغم من ارتفاع مستوى المخاطر المرتبطة بهذه الأذونات ، إلا أنها ليست غير معتادة بالنسبة لنوع التطبيق الذي يتنكر به برنامج Geacon Malware ، مما يخفف من شكوك المستخدم ويخدعه لمنح الأذونات المطلوبة. وفقًا للمعلومات المتاحة ، يتصل متغير Geacon Malware هذا بخادم C2 موجود في اليابان ، بعنوان IP 13.230.229.15.

في السنوات الأخيرة ، كانت هناك زيادة ملحوظة في هجمات البرامج الضارة التي تستهدف أجهزة Mac. يمكن أن يُعزى هذا الارتفاع إلى الشعبية المتزايدة لأجهزة كمبيوتر Mac والاعتقاد الخاطئ بأنها محصنة ضد البرامج الضارة. لقد أدرك مجرمو الإنترنت القيمة المحتملة في استهداف مستخدمي Mac ، مما يؤدي إلى تطوير ونشر برامج ضارة أكثر تعقيدًا واستهدافًا مصممة خصيصًا لأنظمة macOS. بطبيعة الحال ، يتطلب هذا زيادة اليقظة من مستخدمي Mac وتنفيذ تدابير أمنية كافية لحماية أجهزتهم من الإصابة بالبرامج الضارة.