Geacon Mac Malware

Ifølge cybersikkerhedsforskere er Geacon Malware en implementering af Cobalt Strike-beaconen, bygget ved hjælp af Go-programmeringssproget. Truslen er dukket op som et potent truende værktøj til at målrette mod macOS-enheder. Mens Geacon og Cobalt Strike oprindeligt var designet som legitime hjælpeprogrammer, der blev brugt af organisationer til at teste deres netværkssikkerhed gennem simulerede angreb, har ondsindede aktører i stigende grad udnyttet dem til forskellige ondsindede aktiviteter.

I årevis har trusselsaktører udnyttet Cobalt Strike til at kompromittere Windows-systemer, hvilket har ført til, at cybersikkerhedsindustrien konstant bekæmper denne vedvarende trussel. Den seneste stigning i brugen af Geacon fremhæver dog det voksende omfang af angreb rettet mod macOS-enheder. Dette betyder behovet for øget årvågenhed og proaktive foranstaltninger for at imødegå de udviklende taktikker, der anvendes af trusselsaktører, der udnytter disse værktøjer. Detaljer om Geacon Malware og dens skadelige egenskaber blev frigivet i en rapport fra de forskere, der har overvåget truslens aktivitet.

To varianter af Geacon Malware observeret i naturen

Den første fil, der er knyttet til Geacon, er en AppleScript-applet ved navn 'Xu Yiqing's Resume_20230320.app.' Dens formål er at bekræfte, at den faktisk kører på et macOS-system. Når dette er blevet bekræftet, fortsætter filen med at hente en usigneret nyttelast kendt som 'Geacon Plus' fra angribernes Command-and-Control-server (C2), som har en IP-adresse, der stammer fra Kina.

Den specifikke C2-adresse (47.92.123.17) har tidligere været knyttet til Cobalt Strike-angreb rettet mod Windows-maskiner. Denne sammenhæng antyder en potentiel forbindelse eller lighed mellem infrastrukturen for det observerede angreb og tidligere tilfælde af Cobalt Strike-aktivitet.

Forud for påbegyndelsen af sin 'beaconing-aktivitet', anvender nyttelasten en vildledende taktik for at vildlede ofre ved at vise en lokke-PDF-fil. Det viste dokument maskerer sig som et CV, der tilhører en person ved navn Xy Yiqing, med det formål at aflede ofrets opmærksomhed fra de truende handlinger, som malwaren udfører i baggrunden.

Denne specifikke Geacon-nyttelast besidder en række funktioner, herunder understøttelse af netværkskommunikation, udførelse af datakryptering og dekrypteringsfunktioner, muliggør download af yderligere nyttelast og facilitering af eksfiltrering af data fra det kompromitterede system.

Geacon-malwaren gemmer sig inde i trojaniseret applikation

Den anden Geacon Malware-nyttelast implementeres gennem SecureLink.app og SecureLink_Client, modificerede versioner af den legitime SecureLink-applikation, der bruges til sikker fjernsupport. Denne trojaniserede version indeholder dog en kopi af 'Geacon Pro'-malwaren. Denne særlige nyttelast er specifikt rettet mod Intel-baserede Mac-systemer, der kører OS X 10.9 (Mavericks) eller nyere versioner.

Ved lancering af applikationen anmoder den om forskellige tilladelser, herunder adgang til computerens kamera, mikrofon, kontakter, fotos, påmindelser og endda administratorrettigheder. Disse tilladelser er typisk beskyttet af Apples privatlivsramme for gennemsigtighed, samtykke og kontrol (TCC), og at give dem udgør betydelige risici.

Men på trods af det høje niveau af risiko forbundet med disse tilladelser, er de ikke så usædvanlige for den type applikation, som Geacon Malware forklæder sig som, hvilket letter brugerens mistanke og narre dem til at give de anmodede tilladelser. Ifølge de tilgængelige oplysninger kommunikerer denne Geacon Malware-variant med en C2-server placeret i Japan med IP-adressen 13.230.229.15.

I de sidste år har der været en mærkbar stigning i malware-angreb rettet mod Mac-enheder. Denne stigning kan tilskrives Mac-computeres voksende popularitet og misforståelsen om, at de er immune over for malware. Cyberkriminelle har erkendt den potentielle værdi i at målrette mod Mac-brugere, hvilket fører til udvikling og implementering af mere sofistikeret og målrettet malware, der er specielt designet til macOS-systemer. Dette kræver naturligvis øget årvågenhed fra Mac-brugere og implementering af tilstrækkelige sikkerhedsforanstaltninger til at beskytte deres enheder mod malware-infektioner.