Κακόβουλο λογισμικό Geacon Mac

Σύμφωνα με ερευνητές κυβερνοασφάλειας, το Geacon Malware είναι μια υλοποίηση του Cobalt Strike beacon, που έχει δημιουργηθεί χρησιμοποιώντας τη γλώσσα προγραμματισμού Go. Η απειλή έχει αναδειχθεί ως ένα ισχυρό απειλητικό εργαλείο για τη στόχευση συσκευών macOS. Ενώ το Geacon και το Cobalt Strike σχεδιάστηκαν αρχικά ως νόμιμες βοηθητικές εφαρμογές που χρησιμοποιούνται από οργανισμούς για να δοκιμάσουν την ασφάλεια του δικτύου τους μέσω προσομοιωμένων επιθέσεων, οι κακοπροαίρετοι ηθοποιοί τα εκμεταλλεύονται όλο και περισσότερο για διάφορες κακόβουλες δραστηριότητες.

Για χρόνια, οι φορείς απειλών εκμεταλλεύονταν το Cobalt Strike για να υπονομεύσουν τα συστήματα των Windows, οδηγώντας τον κλάδο της κυβερνοασφάλειας να καταπολεμά αυτή την επίμονη απειλή συνεχώς. Ωστόσο, η πρόσφατη αύξηση στη χρήση του Geacon υπογραμμίζει το διευρυνόμενο εύρος επιθέσεων που στοχεύουν συσκευές macOS. Αυτό υποδηλώνει την ανάγκη για ενισχυμένη επαγρύπνηση και προληπτικά μέτρα για την αντιμετώπιση των εξελισσόμενων τακτικών που εφαρμόζουν οι φορείς απειλών που χρησιμοποιούν αυτά τα εργαλεία. Λεπτομέρειες σχετικά με το κακόβουλο λογισμικό Geacon και τις επιβλαβείς δυνατότητές του δημοσιεύθηκαν σε μια αναφορά από τους ερευνητές που παρακολουθούσαν τη δραστηριότητα της απειλής.

Δύο παραλλαγές του κακόβουλου λογισμικού Geacon που παρατηρήθηκαν στη φύση

Το πρώτο αρχείο που σχετίζεται με το Geacon είναι μια μικροεφαρμογή AppleScript με το όνομα "Xu Yiqing's Resume_20230320.app". Σκοπός του είναι να επαληθεύσει ότι όντως εκτελείται σε σύστημα macOS. Μόλις επιβεβαιωθεί αυτό, το αρχείο προχωρά στην ανάκτηση ενός ανυπόγραφου ωφέλιμου φορτίου γνωστό ως «Geacon Plus» από τον διακομιστή Command-and-Control (C2) των εισβολέων, ο οποίος έχει μια διεύθυνση IP που προέρχεται από την Κίνα.

Η συγκεκριμένη διεύθυνση C2 (47.92.123.17) είχε προηγουμένως συνδεθεί με επιθέσεις Cobalt Strike που στοχεύουν μηχανήματα Windows. Αυτή η συσχέτιση υποδηλώνει μια πιθανή σύνδεση ή ομοιότητα μεταξύ της υποδομής της παρατηρούμενης επίθεσης και προηγούμενων περιπτώσεων δραστηριότητας Cobalt Strike.

Πριν από την έναρξη της «δραστηριότητας beaconing», το ωφέλιμο φορτίο χρησιμοποιεί μια παραπλανητική τακτική για να παραπλανήσει τα θύματα εμφανίζοντας ένα αρχείο PDF decoy. Το εμφανιζόμενο έγγραφο μεταμφιέζεται ως βιογραφικό που ανήκει σε ένα άτομο που ονομάζεται Xy Yiqing, με στόχο να αποσπάσει την προσοχή του θύματος από τις απειλητικές ενέργειες που εκτελεί το κακόβουλο λογισμικό στο παρασκήνιο.

Αυτό το συγκεκριμένο ωφέλιμο φορτίο Geacon διαθέτει μια σειρά δυνατοτήτων, όπως υποστήριξη επικοινωνιών δικτύου, εκτέλεση λειτουργιών κρυπτογράφησης και αποκρυπτογράφησης δεδομένων, δυνατότητα λήψης πρόσθετων ωφέλιμων φορτίων και διευκόλυνση της εξαγωγής δεδομένων από το παραβιασμένο σύστημα.

The Geacon Malware Hiding Inside Trojanized Application

Το δεύτερο ωφέλιμο φορτίο Geacon Malware αναπτύσσεται μέσω των SecureLink.app και SecureLink_Client, τροποποιημένες εκδόσεις της νόμιμης εφαρμογής SecureLink που χρησιμοποιούνται για ασφαλή απομακρυσμένη υποστήριξη. Ωστόσο, αυτή η trojanized έκδοση περιλαμβάνει ένα αντίγραφο του κακόβουλου λογισμικού «Geacon Pro». Αυτό το συγκεκριμένο ωφέλιμο φορτίο στοχεύει συγκεκριμένα συστήματα Mac που βασίζονται σε Intel με OS X 10.9 (Mavericks) ή νεότερες εκδόσεις.

Κατά την εκκίνηση της εφαρμογής, ζητά διάφορα δικαιώματα, όπως πρόσβαση στην κάμερα, το μικρόφωνο, τις επαφές, τις φωτογραφίες, τις υπενθυμίσεις και ακόμη και τα δικαιώματα διαχειριστή του υπολογιστή. Αυτές οι άδειες προστατεύονται συνήθως από το πλαίσιο απορρήτου της Apple για τη Διαφάνεια, τη Συναίνεση και τον Έλεγχο (TCC) και η παραχώρησή τους ενέχει σημαντικούς κινδύνους.

Ωστόσο, παρά το υψηλό επίπεδο κινδύνου που σχετίζεται με αυτές τις άδειες, δεν είναι τόσο ασυνήθιστες για τον τύπο εφαρμογής στην οποία μεταμφιέζεται το κακόβουλο λογισμικό Geacon, διευκολύνοντας τις υποψίες του χρήστη και εξαπατώντας τον να παραχωρήσει τα ζητούμενα δικαιώματα. Σύμφωνα με τις διαθέσιμες πληροφορίες, αυτή η παραλλαγή Geacon Malware επικοινωνεί με έναν διακομιστή C2 που βρίσκεται στην Ιαπωνία, με τη διεύθυνση IP 13.230.229.15.

Τα τελευταία χρόνια, υπήρξε αξιοσημείωτη αύξηση των επιθέσεων κακόβουλου λογισμικού που στοχεύουν συσκευές Mac. Αυτή η άνοδος μπορεί να αποδοθεί στην αυξανόμενη δημοτικότητα των υπολογιστών Mac και στην εσφαλμένη αντίληψη ότι έχουν ανοσία σε κακόβουλο λογισμικό. Οι εγκληματίες του κυβερνοχώρου έχουν αναγνωρίσει τη δυνητική αξία στη στόχευση χρηστών Mac, οδηγώντας στην ανάπτυξη και ανάπτυξη πιο εξελιγμένου και στοχευμένου κακόβουλου λογισμικού ειδικά σχεδιασμένου για συστήματα macOS. Φυσικά, αυτό απαιτεί αυξημένη επαγρύπνηση από τους χρήστες Mac και την εφαρμογή επαρκών μέτρων ασφαλείας για την προστασία των συσκευών τους από μολύνσεις από κακόβουλο λογισμικό.