Geacon Mac Malware

Prema istraživačima kibernetičke sigurnosti, Geacon Malware je implementacija Cobalt Strike beacona, izgrađena korištenjem programskog jezika Go. Prijetnja se pojavila kao snažan prijeteći alat za ciljanje macOS uređaja. Dok su Geacon i Cobalt Strike izvorno osmišljeni kao legitimni uslužni programi koje organizacije koriste za testiranje svoje mrežne sigurnosti putem simuliranih napada, zli akteri ih sve više iskorištavaju za razne opake aktivnosti.

Godinama su akteri prijetnji iskorištavali prednosti Cobalt Strikea za kompromitiranje Windows sustava, vodeći industriju kibernetičke sigurnosti u stalnu borbu protiv ove uporne prijetnje. Međutim, nedavni porast upotrebe Geacona naglašava sve veći opseg napada usmjerenih na macOS uređaje. To označava potrebu za pojačanim oprezom i proaktivnim mjerama za suzbijanje taktika koje se razvijaju od strane aktera prijetnji koji koriste ove alate. Detalji o zlonamjernom softveru Geacon i njegovim štetnim mogućnostima objavljeni su u izvješću istraživača koji su pratili aktivnost prijetnje.

Dvije varijante zlonamjernog softvera Geacon promatrane u divljini

Prva datoteka povezana s Geaconom je AppleScript applet pod nazivom 'Xu Yiqing's Resume_20230320.app.' Njegova je svrha provjeriti radi li doista na macOS sustavu. Nakon što je to potvrđeno, datoteka nastavlja dohvaćati nepotpisani korisni teret poznat kao 'Geacon Plus' s napadačevog Command-and-Control (C2) poslužitelja, čija IP adresa potječe iz Kine.

Specifična C2 adresa (47.92.123.17) prethodno je bila povezana s Cobalt Strike napadima usmjerenim na Windows strojeve. Ova povezanost sugerira potencijalnu vezu ili sličnost između infrastrukture promatranog napada i prethodnih slučajeva aktivnosti Cobalt Strike.

Prije pokretanja svoje 'aktivnosti praćenja', korisni teret koristi prijevarnu taktiku kako bi zavarao žrtve prikazivanjem lažne PDF datoteke. Prikazani dokument maskiran je kao životopis koji pripada osobi po imenu Xy Yiqing, s ciljem odvraćanja pozornosti žrtve od prijetećih radnji koje zlonamjerni softver izvodi u pozadini.

Ovaj specifični Geacon korisni teret posjeduje niz mogućnosti, uključujući podršku mrežnim komunikacijama, izvođenje funkcija enkripcije i dešifriranja podataka, omogućavanje preuzimanja dodatnih korisnih tereta i olakšavanje ekstrakcije podataka iz kompromitiranog sustava.

Zlonamjerni softver Geacon skriva se unutar trojanizirane aplikacije

Drugi Geacon Malware korisni teret implementiran je putem SecureLink.app i SecureLink_Client, modificiranih verzija legitimne SecureLink aplikacije koja se koristi za sigurnu udaljenu podršku. Međutim, ova trojanizirana verzija uključuje kopiju zlonamjernog softvera 'Geacon Pro'. Ovo konkretno opterećenje posebno cilja Mac sustave temeljene na Intelu s OS X 10.9 (Mavericks) ili novijim verzijama.

Nakon pokretanja aplikacije, ona zahtijeva različite dozvole, uključujući pristup kameri računala, mikrofonu, kontaktima, fotografijama, podsjetnicima, pa čak i administratorskim ovlastima. Ta su dopuštenja obično zaštićena Appleovim okvirom privatnosti za transparentnost, pristanak i kontrolu (TCC), a njihovo dodjeljivanje predstavlja značajan rizik.

Međutim, unatoč visokoj razini rizika povezanog s tim dozvolama, one nisu toliko neuobičajene za vrstu aplikacije u koju se Geacon Malware maskira, ublažavajući sumnje korisnika i varajući ih da daju tražena dopuštenja. Prema dostupnim informacijama, ova Geacon Malware varijanta komunicira s C2 serverom koji se nalazi u Japanu, s IP adresom 13.230.229.15.

Posljednjih godina primjetan je porast napada zlonamjernim softverom usmjerenih na Mac uređaje. Ovaj porast može se pripisati sve većoj popularnosti Mac računala i pogrešnom uvjerenju da su imuna na zlonamjerni softver. Cyberkriminalci su prepoznali potencijalnu vrijednost ciljanja na Mac korisnike, što je dovelo do razvoja i primjene sofisticiranijeg i ciljanijeg zlonamjernog softvera posebno dizajniranog za macOS sustave. Naravno, to zahtijeva povećanu opreznost Mac korisnika i provedbu dovoljnih sigurnosnih mjera za zaštitu njihovih uređaja od infekcija zlonamjernim softverom.