Geacon Maci pahavara

Küberjulgeoleku teadlaste sõnul on Geacon Malware Cobalt Strike majaka teostus, mis on ehitatud Go programmeerimiskeelt kasutades. Oht on muutunud tugevaks ohuvahendiks MacOS-i seadmete sihtimiseks. Kui algselt loodi Geacon ja Cobalt Strike seaduslike utiliitidena, mida organisatsioonid kasutasid oma võrgu turvalisuse testimiseks simuleeritud rünnakute kaudu, siis kurja mõtlemisega tegijad on neid üha enam ära kasutanud mitmesugusteks alatuteks tegevusteks.

Ohutegijad on aastaid kasutanud Cobalt Strike'i Windowsi süsteemide ohustamiseks, mis on viinud küberjulgeolekutööstuse selle püsiva ohuga pidevalt võitlema. Kuid Geaconi kasutamise hiljutine kasv toob esile MacOS-i seadmetele suunatud rünnakute laienemise. See tähendab vajadust suurema valvsuse ja ennetavate meetmete järele, et võidelda neid vahendeid kasutavate ohus osalejate kasutatavate arenevate taktikate vastu. Üksikasjad Geaconi pahavara ja selle kahjulike võimaluste kohta avaldasid ohu tegevust jälginud teadlaste aruandes.

Looduses vaadeldud Geaconi pahavara kaks varianti

Esimene Geaconiga seotud fail on AppleScripti aplett nimega "Xu Yiqing's Resume_20230320.app". Selle eesmärk on kontrollida, kas see tõesti töötab macOS-i süsteemis. Kui see on kinnitatud, hangib fail ründajate käsu- ja juhtimisserverist (C2), mille IP-aadress pärineb Hiinast, allkirjastamata kasulikku koormust, mida nimetatakse Geacon Plusiks.

Konkreetne C2-aadress (47.92.123.17) on varem seotud Windowsi masinatele suunatud Cobalt Strike'i rünnakutega. See seos viitab potentsiaalsele seosele või sarnasusele vaadeldud rünnaku infrastruktuuri ja varasemate Cobalt Strike tegevuse juhtumite vahel.

Enne oma "majakamistegevuse" alustamist kasutab kasulik koorem petlikku taktikat, et eksitada ohvreid, kuvades peibutus-PDF-faili. Kuvatav dokument maskeerub Xy Yiqingi nimelise isiku CV-ks, mille eesmärk on juhtida ohvri tähelepanu kõrvale ähvardavatelt toimingutelt, mida pahavara taustal teeb.

Sellel spetsiifilisel Geaconi kasulikul koormal on mitmesuguseid võimalusi, sealhulgas võrguside toetamine, andmete krüpteerimise ja dekrüpteerimise funktsioonide täitmine, täiendavate kasulike koormuste allalaadimise võimaldamine ja andmete väljafiltreerimise hõlbustamine ohustatud süsteemist.

Troojastatud rakenduse sees peidus olev Geaconi pahavara

Teine Geacon Malware kasulik koormus juurutatakse SecureLink.app ja SecureLink_Client kaudu, mis on turvalise kaugtoe jaoks kasutatava seadusliku SecureLinki rakenduse muudetud versioonid. See troojastatud versioon sisaldab aga pahavara „Geacon Pro” koopiat. See konkreetne kandevõime on suunatud Inteli-põhistele Maci süsteemidele, mis käitavad operatsioonisüsteemi OS X 10.9 (Mavericks) või uuemaid versioone.

Rakenduse käivitamisel küsib see erinevaid õigusi, sealhulgas juurdepääsu arvuti kaamerale, mikrofonile, kontaktidele, fotodele, meeldetuletustele ja isegi administraatori õigustele. Neid õigusi kaitseb tavaliselt Apple'i läbipaistvuse, nõusoleku ja kontrolli (TCC) privaatsusraamistik ning nende andmine kujutab endast olulisi riske.

Hoolimata nende lubadega seotud kõrgest riskitasemest ei ole need aga Geaconi pahavara maskeeritud rakendusetüübi puhul nii ebatavalised, leevendades kasutaja kahtlusi ja meelitades neid taotletud õigusi andma. Olemasoleva teabe kohaselt suhtleb see Geacon Malware variant Jaapanis asuva C2-serveriga, mille IP-aadress on 13.230.229.15.

Viimastel aastatel on Maci seadmetele suunatud pahavararünnakute arv märgatavalt sagenenud. Selle tõusu võib seostada Maci arvutite kasvava populaarsuse ja väärarusaamaga, et need on pahavara suhtes immuunsed. Küberkurjategijad on mõistnud Maci kasutajate sihtimise potentsiaalset väärtust, mis on viinud keerukama ja sihipärasema pahavara väljatöötamiseni ja juurutamiseni, mis on spetsiaalselt loodud macOS-süsteemide jaoks. Loomulikult nõuab see Maci kasutajate suuremat valvsust ja piisavate turvameetmete rakendamist, et kaitsta oma seadmeid pahavara nakatumise eest.