بدافزار Geacon Mac
به گفته محققان امنیت سایبری، بدافزار Geacon پیاده سازی Cobalt Strike beacon است که با استفاده از زبان برنامه نویسی Go ساخته شده است. این تهدید به عنوان یک ابزار تهدید کننده قوی برای هدف قرار دادن دستگاه های macOS ظاهر شده است. در حالی که Geacon و Cobalt Strike در اصل به عنوان ابزارهای مشروعی طراحی شده بودند که توسط سازمان ها برای آزمایش امنیت شبکه خود از طریق حملات شبیه سازی شده استفاده می شد، بازیگران بد اندیش به طور فزاینده ای از آنها برای فعالیت های مختلف شرور سوء استفاده می کردند.
برای سالها، بازیگران تهدید از Cobalt Strike برای به خطر انداختن سیستمهای ویندوز استفاده کردهاند و صنعت امنیت سایبری را به مبارزه مستمر با این تهدید مداوم سوق دادهاند. با این حال، افزایش اخیر در استفاده از Geacon، دامنه گسترش حملاتی را که دستگاههای macOS را هدف قرار میدهند، برجسته میکند. این نشاندهنده نیاز به افزایش هوشیاری و اقدامات پیشگیرانه برای مقابله با تاکتیکهای در حال تکاملی است که توسط بازیگران تهدید که از این ابزارها استفاده میکنند، استفاده میکنند. جزئیات مربوط به بدافزار Geacon و قابلیتهای مضر آن در گزارشی توسط محققانی که فعالیت این تهدید را رصد میکنند، منتشر شد.
دو نوع بدافزار Geacon که در طبیعت مشاهده شده است
اولین فایل مرتبط با Geacon یک اپلت اپل اسکریپت به نام "Xu Yiqing's Resume_20230320.app" است. هدف آن تأیید این است که آیا واقعاً روی یک سیستم macOS اجرا می شود. پس از تایید این موضوع، فایل اقدام به بازیابی یک محموله بدون امضا معروف به "Geacon Plus" از سرور فرماندهی و کنترل (C2) مهاجمان می کند، که دارای یک آدرس IP از چین است.
آدرس خاص C2 (47.92.123.17) قبلاً به حملات Cobalt Strike که ماشینهای ویندوز را هدف قرار میدهند مرتبط بوده است. این ارتباط یک ارتباط یا شباهت بالقوه بین زیرساخت حمله مشاهده شده و نمونه های قبلی فعالیت کوبالت Strike را نشان می دهد.
قبل از شروع "فعالیت چراغ راهنما"، محموله از یک تاکتیک فریبنده برای گمراه کردن قربانیان با نمایش یک فایل PDF فریبنده استفاده می کند. سند نمایش داده شده به عنوان یک رزومه متعلق به فردی به نام Xy Yiqing ظاهر می شود و هدف آن منحرف کردن توجه قربانی از اقدامات تهدید کننده ای است که بدافزار در پس زمینه انجام می دهد.
این محموله خاص Geacon دارای طیف وسیعی از قابلیتها، از جمله پشتیبانی از ارتباطات شبکه، انجام عملیات رمزگذاری و رمزگشایی دادهها، امکان دانلود محمولههای اضافی، و تسهیل خروج دادهها از سیستم در معرض خطر است.
مخفی شدن بدافزار Geacon در داخل برنامه تروجانیزه شده
دومین بار بدافزار Geacon از طریق SecureLink.app و SecureLink_Client، نسخه های اصلاح شده برنامه قانونی SecureLink که برای پشتیبانی از راه دور ایمن استفاده می شود، مستقر می شود. با این حال، این نسخه تروجانی شده شامل یک کپی از بدافزار Geacon Pro است. این محموله خاص به طور خاص سیستمهای مک مبتنی بر اینتل را که دارای OS X 10.9 (Mavericks) یا نسخههای جدیدتر هستند، هدف قرار میدهد.
پس از راه اندازی برنامه، مجوزهای مختلفی از جمله دسترسی به دوربین رایانه، میکروفون، مخاطبین، عکس ها، یادآوری ها و حتی امتیازات مدیر را درخواست می کند. این مجوزها معمولاً توسط چارچوب حریم خصوصی شفافیت، رضایت و کنترل (TCC) اپل محافظت می شوند و اعطای آنها خطرات قابل توجهی را به همراه دارد.
با این حال، علیرغم سطح بالای خطر مرتبط با این مجوزها، آنها برای نوع برنامهای که بدافزار Geacon به آن خودنمایی میکند، غیرمعمول نیستند و سوء ظن کاربر را کاهش میدهند و آنها را فریب میدهند تا مجوزهای درخواستی را اعطا کنند. طبق اطلاعات موجود، این نوع بدافزار Geacon با سرور C2 واقع در ژاپن با آدرس IP 13.230.229.15 ارتباط برقرار می کند.
در سال های گذشته، افزایش قابل توجهی در حملات بدافزاری که دستگاه های مک را هدف قرار می دهند، مشاهده شده است. این افزایش را می توان به دلیل محبوبیت روزافزون رایانه های مک و تصور نادرست مبنی بر مصونیت آنها از بدافزارها نسبت داد. مجرمان سایبری ارزش بالقوه هدف قرار دادن کاربران مک را تشخیص داده اند که منجر به توسعه و استقرار بدافزارهای پیچیده تر و هدفمندتری شده است که به طور خاص برای سیستم های macOS طراحی شده است. به طور طبیعی، این امر مستلزم افزایش هوشیاری کاربران مک و اجرای اقدامات امنیتی کافی برای محافظت از دستگاه های آنها در برابر آلودگی های بدافزار است.