بدافزار Geacon Mac

به گفته محققان امنیت سایبری، بدافزار Geacon پیاده سازی Cobalt Strike beacon است که با استفاده از زبان برنامه نویسی Go ساخته شده است. این تهدید به عنوان یک ابزار تهدید کننده قوی برای هدف قرار دادن دستگاه های macOS ظاهر شده است. در حالی که Geacon و Cobalt Strike در اصل به عنوان ابزارهای مشروعی طراحی شده بودند که توسط سازمان ها برای آزمایش امنیت شبکه خود از طریق حملات شبیه سازی شده استفاده می شد، بازیگران بد اندیش به طور فزاینده ای از آنها برای فعالیت های مختلف شرور سوء استفاده می کردند.

برای سال‌ها، بازیگران تهدید از Cobalt Strike برای به خطر انداختن سیستم‌های ویندوز استفاده کرده‌اند و صنعت امنیت سایبری را به مبارزه مستمر با این تهدید مداوم سوق داده‌اند. با این حال، افزایش اخیر در استفاده از Geacon، دامنه گسترش حملاتی را که دستگاه‌های macOS را هدف قرار می‌دهند، برجسته می‌کند. این نشان‌دهنده نیاز به افزایش هوشیاری و اقدامات پیشگیرانه برای مقابله با تاکتیک‌های در حال تکاملی است که توسط بازیگران تهدید که از این ابزارها استفاده می‌کنند، استفاده می‌کنند. جزئیات مربوط به بدافزار Geacon و قابلیت‌های مضر آن در گزارشی توسط محققانی که فعالیت این تهدید را رصد می‌کنند، منتشر شد.

دو نوع بدافزار Geacon که در طبیعت مشاهده شده است

اولین فایل مرتبط با Geacon یک اپلت اپل اسکریپت به نام "Xu Yiqing's Resume_20230320.app" است. هدف آن تأیید این است که آیا واقعاً روی یک سیستم macOS اجرا می شود. پس از تایید این موضوع، فایل اقدام به بازیابی یک محموله بدون امضا معروف به "Geacon Plus" از سرور فرماندهی و کنترل (C2) مهاجمان می کند، که دارای یک آدرس IP از چین است.

آدرس خاص C2 (47.92.123.17) قبلاً به حملات Cobalt Strike که ماشین‌های ویندوز را هدف قرار می‌دهند مرتبط بوده است. این ارتباط یک ارتباط یا شباهت بالقوه بین زیرساخت حمله مشاهده شده و نمونه های قبلی فعالیت کوبالت Strike را نشان می دهد.

قبل از شروع "فعالیت چراغ راهنما"، محموله از یک تاکتیک فریبنده برای گمراه کردن قربانیان با نمایش یک فایل PDF فریبنده استفاده می کند. سند نمایش داده شده به عنوان یک رزومه متعلق به فردی به نام Xy Yiqing ظاهر می شود و هدف آن منحرف کردن توجه قربانی از اقدامات تهدید کننده ای است که بدافزار در پس زمینه انجام می دهد.

این محموله خاص Geacon دارای طیف وسیعی از قابلیت‌ها، از جمله پشتیبانی از ارتباطات شبکه، انجام عملیات رمزگذاری و رمزگشایی داده‌ها، امکان دانلود محموله‌های اضافی، و تسهیل خروج داده‌ها از سیستم در معرض خطر است.

مخفی شدن بدافزار Geacon در داخل برنامه تروجانیزه شده

دومین بار بدافزار Geacon از طریق SecureLink.app و SecureLink_Client، نسخه های اصلاح شده برنامه قانونی SecureLink که برای پشتیبانی از راه دور ایمن استفاده می شود، مستقر می شود. با این حال، این نسخه تروجانی شده شامل یک کپی از بدافزار Geacon Pro است. این محموله خاص به طور خاص سیستم‌های مک مبتنی بر اینتل را که دارای OS X 10.9 (Mavericks) یا نسخه‌های جدیدتر هستند، هدف قرار می‌دهد.

پس از راه اندازی برنامه، مجوزهای مختلفی از جمله دسترسی به دوربین رایانه، میکروفون، مخاطبین، عکس ها، یادآوری ها و حتی امتیازات مدیر را درخواست می کند. این مجوزها معمولاً توسط چارچوب حریم خصوصی شفافیت، رضایت و کنترل (TCC) اپل محافظت می شوند و اعطای آنها خطرات قابل توجهی را به همراه دارد.

با این حال، علیرغم سطح بالای خطر مرتبط با این مجوزها، آنها برای نوع برنامه‌ای که بدافزار Geacon به آن خودنمایی می‌کند، غیرمعمول نیستند و سوء ظن کاربر را کاهش می‌دهند و آنها را فریب می‌دهند تا مجوزهای درخواستی را اعطا کنند. طبق اطلاعات موجود، این نوع بدافزار Geacon با سرور C2 واقع در ژاپن با آدرس IP 13.230.229.15 ارتباط برقرار می کند.

در سال های گذشته، افزایش قابل توجهی در حملات بدافزاری که دستگاه های مک را هدف قرار می دهند، مشاهده شده است. این افزایش را می توان به دلیل محبوبیت روزافزون رایانه های مک و تصور نادرست مبنی بر مصونیت آنها از بدافزارها نسبت داد. مجرمان سایبری ارزش بالقوه هدف قرار دادن کاربران مک را تشخیص داده اند که منجر به توسعه و استقرار بدافزارهای پیچیده تر و هدفمندتری شده است که به طور خاص برای سیستم های macOS طراحی شده است. به طور طبیعی، این امر مستلزم افزایش هوشیاری کاربران مک و اجرای اقدامات امنیتی کافی برای محافظت از دستگاه های آنها در برابر آلودگی های بدافزار است.