Geacon Mac Malware

Според изследователите на киберсигурността, зловреден софтуер Geacon е имплементация на маяка Cobalt Strike, създаден с помощта на езика за програмиране Go. Заплахата се появи като мощен заплашителен инструмент за насочване към устройства с macOS. Докато Geacon и Cobalt Strike първоначално бяха проектирани като легитимни помощни програми, използвани от организации за тестване на тяхната мрежова сигурност чрез симулирани атаки, злонамерени актьори все повече ги експлоатират за различни престъпни дейности.

В продължение на години участниците в заплахата се възползват от Cobalt Strike, за да компрометират Windows системи, което кара индустрията за киберсигурност да се бори непрекъснато с тази постоянна заплаха. Неотдавнашното нарастване на използването на Geacon обаче подчертава разширяващия се обхват на атаките, насочени към устройства с macOS. Това означава необходимостта от повишена бдителност и проактивни мерки за противодействие на развиващите се тактики, използвани от заплахите, използващи тези инструменти. Подробности за зловреден софтуер Geacon и неговите вредни възможности бяха публикувани в доклад на изследователите, които наблюдават дейността на заплахата.

Два варианта на зловреден софтуер Geacon, наблюдавани в природата

Първият файл, свързан с Geacon, е AppleScript аплет, наречен „Xu Yiqing's Resume_20230320.app“. Целта му е да провери дали наистина работи на система macOS. След като това бъде потвърдено, файлът продължава да извлича неподписан полезен товар, известен като „Geacon Plus“ от Command-and-Control (C2) сървъра на нападателя, който има IP адрес, произхождащ от Китай.

Конкретният C2 адрес (47.92.123.17) преди това е бил свързван с Cobalt Strike атаки, насочени към машини с Windows. Тази връзка предполага потенциална връзка или сходство между инфраструктурата на наблюдаваната атака и предишни случаи на активност на Cobalt Strike.

Преди да започне своята „активност за сигнализиране“, полезният товар използва измамна тактика, за да подведе жертвите, като показва примамлив PDF файл. Показаният документ се маскира като автобиография, принадлежаща на лице на име Xy Yiqing, с цел да отклони вниманието на жертвата от заплашителните действия, които зловредният софтуер извършва във фонов режим.

Този специфичен полезен товар на Geacon притежава набор от възможности, включително поддръжка на мрежови комуникации, извършване на функции за криптиране и декриптиране на данни, позволяване на изтеглянето на допълнителни полезни товари и улесняване на ексфилтрирането на данни от компрометираната система.

Зловреден софтуер на Geacon, който се крие в троянизирано приложение

Вторият полезен товар на Geacon Malware се внедрява чрез SecureLink.app и SecureLink_Client, модифицирани версии на легитимното приложение SecureLink, използвано за сигурна отдалечена поддръжка. Тази троянизирана версия обаче включва копие на зловреден софтуер „Geacon Pro“. Този конкретен полезен товар е насочен специално към базирани на Intel Mac системи, работещи с OS X 10.9 (Mavericks) или по-нови версии.

При стартиране на приложението, то иска различни разрешения, включително достъп до камерата на компютъра, микрофона, контактите, снимките, напомнянията и дори администраторски привилегии. Тези разрешения обикновено са защитени от рамката за поверителност на Apple за прозрачност, съгласие и контрол (TCC) и предоставянето им крие значителни рискове.

Все пак, въпреки високото ниво на риск, свързано с тези разрешения, те не са толкова необичайни за типа приложение, под което се маскира зловреден софтуер Geacon, облекчавайки подозренията на потребителя и подвеждайки го да предостави исканите разрешения. Според наличната информация този вариант на зловреден софтуер на Geacon комуникира със сървър C2, разположен в Япония, с IP адрес 13.230.229.15.

През последните години се наблюдава забележимо увеличение на атаките със зловреден софтуер, насочени към Mac устройства. Това покачване може да се отдаде на нарастващата популярност на Mac компютрите и погрешното схващане, че те са имунизирани срещу зловреден софтуер. Киберпрестъпниците разпознаха потенциалната стойност на насочването към потребителите на Mac, което води до разработването и внедряването на по-сложен и целенасочен злонамерен софтуер, специално проектиран за macOS системи. Естествено, това налага повишена бдителност от потребителите на Mac и прилагането на достатъчни мерки за сигурност, за да защитят устройствата си от заразяване със зловреден софтуер.