Geacon Mac -haittaohjelma

Kyberturvallisuustutkijoiden mukaan Geacon Malware on Cobalt Strike -majakan toteutus, joka on rakennettu Go-ohjelmointikielellä. Uhka on noussut tehokkaaksi uhkaavaksi työkaluksi macOS-laitteiden kohdistamiseen. Vaikka Geacon ja Cobalt Strike suunniteltiin alun perin laillisiksi apuohjelmiksi, joita organisaatiot käyttivät verkkonsa turvallisuuden testaamiseen simuloitujen hyökkäysten avulla, pahamieliset toimijat ovat käyttäneet niitä yhä useammin hyväkseen erilaisiin ilkeisiin toimiin.

Uhkatoimijat ovat vuosien ajan hyödyntäneet Cobalt Strikea Windows-järjestelmien vaarantamiseen, mikä on johtanut kyberturvallisuusalan taistelemaan jatkuvasti tätä jatkuvaa uhkaa vastaan. Viimeaikainen Geaconin käytön lisääntyminen korostaa kuitenkin macOS-laitteisiin kohdistuvien hyökkäysten laajenemista. Tämä merkitsee tarvetta tehostaa valppautta ja ennakoivia toimenpiteitä, jotta voidaan torjua näitä työkaluja hyödyntävien uhkatoimijoiden käyttämiä kehittyviä taktiikoita. Tiedot Geacon-haittaohjelmasta ja sen haitallisista ominaisuuksista julkaisivat uhan toimintaa seuranneiden tutkijoiden raportissa.

Kaksi muunnelmaa Geacon-haittaohjelmasta havaittu luonnossa

Ensimmäinen Geaconiin liittyvä tiedosto on AppleScript-sovelma nimeltä "Xu Yiqing's Resume_20230320.app". Sen tarkoituksena on varmistaa, että se todella toimii macOS-järjestelmässä. Kun tämä on vahvistettu, tiedosto hakee allekirjoittamattoman hyötykuorman nimeltä "Geacon Plus" hyökkääjien Command-and-Control (C2) -palvelimelta, jonka IP-osoite on peräisin Kiinasta.

Tietty C2-osoite (47.92.123.17) on aiemmin linkitetty Windows-koneisiin kohdistuviin Cobalt Strike -hyökkäyksiin. Tämä yhteys viittaa mahdolliseen yhteyteen tai samankaltaisuuteen havaitun hyökkäyksen infrastruktuurin ja aiempien Cobalt Strike -toiminnan välillä.

Ennen "majakkatoimintansa" aloittamista hyötykuorma käyttää petollista taktiikkaa uhrien harhaanjohtamiseksi näyttämällä houkutus-PDF-tiedoston. Näytetty asiakirja naamioituu Xy Yiqing -nimisen henkilön ansioluetteloksi, jonka tarkoituksena on kääntää uhrin huomio pois haittaohjelman taustalla suorittamista uhkaavista toimista.

Tällä erityisellä Geacon-hyötykuormalla on useita ominaisuuksia, mukaan lukien verkkoviestinnän tukeminen, tietojen salaus- ja salauksenpurkutoimintojen suorittaminen, lisähyötykuormien lataamisen mahdollistaminen ja tietojen suodattamisen helpottaminen vaarantuneesta järjestelmästä.

Geacon-haittaohjelma piileskelee troijalaissovelluksen sisällä

Toinen Geacon Malware -hyötykuorma otetaan käyttöön SecureLink.app- ja SecureLink_Client-sovelluksen kautta, jotka ovat suojattuun etätukeen käytettävän laillisen SecureLink-sovelluksen muokatut versiot. Tämä troijalainen versio sisältää kuitenkin kopion "Geacon Pro" -haittaohjelmasta. Tämä hyötykuorma on kohdistettu erityisesti Intel-pohjaisiin Mac-järjestelmiin, joissa on OS X 10.9 (Mavericks) tai uudempi versio.

Sovelluksen käynnistämisen yhteydessä se pyytää erilaisia käyttöoikeuksia, mukaan lukien pääsyn tietokoneen kameraan, mikrofoniin, yhteystietoihin, valokuviin, muistutuksiin ja jopa järjestelmänvalvojan oikeuksiin. Nämä luvat on yleensä suojattu Applen Transparency, Consent, and Control (TCC) -tietosuojakehyksellä, ja niiden myöntäminen aiheuttaa merkittäviä riskejä.

Huolimatta näihin käyttöoikeuksiin liittyvästä korkeasta riskistä, ne eivät kuitenkaan ole niin epätavallisia sen tyyppiselle sovellukselle, jota Geacon-haittaohjelma naamioi, mikä helpottaa käyttäjän epäilyjä ja huijaa heitä myöntämään pyydetyt luvat. Saatavilla olevien tietojen mukaan tämä Geacon Malware -versio kommunikoi Japanissa sijaitsevan C2-palvelimen kanssa, jonka IP-osoite on 13.230.229.15.

Viime vuosina Mac-laitteisiin kohdistuvien haittaohjelmahyökkäysten määrä on lisääntynyt huomattavasti. Tämä nousu johtuu Mac-tietokoneiden kasvavasta suosiosta ja väärinkäsityksestä, jonka mukaan ne ovat immuuneja haittaohjelmille. Kyberrikolliset ovat tunnistaneet Mac-käyttäjiin kohdistamisen mahdollisen arvon, mikä on johtanut erityisesti macOS-järjestelmiin suunniteltujen kehittyneempien ja kohdistettujen haittaohjelmien kehittämiseen ja käyttöönottoon. Tämä luonnollisesti edellyttää Mac-käyttäjien lisääntynyttä valppautta ja riittävien turvatoimien toteuttamista laitteiden suojaamiseksi haittaohjelmatartunnalta.