Malware Geacon Mac

Podle výzkumníků v oblasti kybernetické bezpečnosti je malware Geacon implementací majáku Cobalt Strike vytvořeného pomocí programovacího jazyka Go. Hrozba se ukázala jako silný hrozivý nástroj pro cílení na zařízení macOS. Zatímco Geacon a Cobalt Strike byly původně navrženy jako legitimní nástroje používané organizacemi k testování zabezpečení sítě prostřednictvím simulovaných útoků, zlomyslní aktéři je stále častěji zneužívají k různým nekalým činnostem.

Po celá léta aktéři hrozeb využívali Cobalt Strike ke kompromitaci systémů Windows, což vede průmysl kybernetické bezpečnosti k neustálému boji proti této přetrvávající hrozbě. Nedávný nárůst používání Geacon však zdůrazňuje rozšiřující se rozsah útoků zaměřených na zařízení macOS. To znamená potřebu zvýšené ostražitosti a proaktivních opatření proti vyvíjejícím se taktikám, které používají aktéři hrozeb využívající tyto nástroje. Podrobnosti o malwaru Geacon a jeho škodlivých schopnostech byly zveřejněny ve zprávě výzkumníků, kteří monitorovali aktivitu hrozby.

Dvě varianty malwaru Geacon pozorované ve volné přírodě

První soubor spojený s Geaconem je applet AppleScript s názvem 'Xu Yiqing's Resume_20230320.app.' Jeho účelem je ověřit, že skutečně běží na systému macOS. Jakmile to bude potvrzeno, soubor pokračuje v získávání nepodepsaného užitečného zatížení známého jako „Geacon Plus“ ze serveru Command-and-Control (C2) útočníků, který má IP adresu pocházející z Číny.

Konkrétní adresa C2 (47.92.123.17) byla dříve spojena s útoky Cobalt Strike zaměřenými na počítače se systémem Windows. Tato asociace naznačuje potenciální spojení nebo podobnost mezi infrastrukturou pozorovaného útoku a předchozími případy aktivity Cobalt Strike.

Před zahájením své „aktivity majáku“ používá užitečné zatížení klamavou taktiku, jak uvést oběti v omyl zobrazením souboru PDF s návnadou. Zobrazený dokument se maskuje jako životopis jednotlivce jménem Xy Yiqing, jehož cílem je odvést pozornost oběti od ohrožujících akcí, které malware provádí na pozadí.

Tato specifická užitečná zátěž Geacon má řadu schopností, včetně podpory síťové komunikace, provádění funkcí šifrování a dešifrování dat, umožňuje stahování dalších dat a usnadňuje exfiltraci dat z napadeného systému.

Malware Geacon skrývající se uvnitř trojanizované aplikace

Druhé užitečné zatížení Geacon Malware je nasazeno prostřednictvím SecureLink.app a SecureLink_Client, upravených verzí legitimní aplikace SecureLink používané pro bezpečnou vzdálenou podporu. Tato trojanizovaná verze však obsahuje kopii malwaru 'Geacon Pro'. Toto konkrétní užitečné zatížení se konkrétně zaměřuje na systémy Mac založené na Intelu s OS X 10.9 (Mavericks) nebo novějšími verzemi.

Po spuštění aplikace vyžaduje různá oprávnění, včetně přístupu ke kameře počítače, mikrofonu, kontaktům, fotografiím, připomenutím a dokonce i oprávnění správce. Tato oprávnění jsou obvykle chráněna rámcem ochrany osobních údajů společnosti Apple Transparency, Consent and Control (TCC) a jejich udělení představuje značná rizika.

Navzdory vysoké úrovni rizika spojeného s těmito oprávněními však nejsou pro typ aplikace, za kterou se Geacon Malware vydává, až tak neobvyklá, čímž zmírňují podezření uživatele a přimějí je k udělení požadovaných oprávnění. Podle dostupných informací tato varianta Geacon Malware komunikuje se serverem C2 umístěným v Japonsku s IP adresou 13.230.229.15.

V posledních letech došlo ke znatelnému nárůstu malwarových útoků zaměřených na zařízení Mac. Tento nárůst lze přičíst rostoucí popularitě počítačů Mac a mylné představě, že jsou imunní vůči malwaru. Kyberzločinci rozpoznali potenciální hodnotu cílení na uživatele Mac, což vedlo k vývoji a nasazení sofistikovanějšího a cílenějšího malwaru speciálně navrženého pro systémy macOS. To přirozeně vyžaduje zvýšenou ostražitost ze strany uživatelů Mac a implementaci dostatečných bezpečnostních opatření k ochraně jejich zařízení před malwarem.