Geacon Mac Malware

A kiberbiztonsági kutatók szerint a Geacon Malware a Cobalt Strike jeladó megvalósítása, amelyet a Go programozási nyelv segítségével építettek fel. A fenyegetés erős fenyegető eszközként jelent meg a macOS-eszközök megcélzásához. Míg a Geacont és a Cobalt Strike-ot eredetileg legitim segédprogramoknak tervezték, amelyeket a szervezetek használtak hálózatuk biztonságának szimulált támadásokkal történő tesztelésére, a gonosz lelkű szereplők egyre gyakrabban használják ki őket különféle aljas tevékenységekre.

A fenyegetések szereplői évek óta kihasználják a Cobalt Strike előnyeit a Windows rendszerek kompromittálására, ami a kiberbiztonsági ipart arra késztette, hogy folyamatosan küzdjön ezzel a tartós fenyegetéssel. A Geacon használatának közelmúltbeli növekedése azonban rávilágít a macOS-eszközöket célzó támadások terjedelmére. Ez azt jelenti, hogy fokozott éberségre és proaktív intézkedésekre van szükség az eszközöket kihasználó fenyegetés szereplői által alkalmazott, fejlődő taktikák ellen. A Geacon Malware-ről és annak káros képességeiről a fenyegetés tevékenységét figyelemmel kísérő kutatók jelentésében közölték a részleteket.

A vadonban megfigyelt Geacon malware két változata

A Geaconhoz társított első fájl egy AppleScript kisalkalmazás, melynek neve „Xu Yiqing's Resume_20230320.app”. Célja annak ellenőrzése, hogy valóban fut-e macOS rendszeren. Amint ezt megerősítették, a fájl lekéri a „Geacon Plus” néven ismert, aláíratlan rakományt a támadók Command-and-Control (C2) szerveréről, amelynek Kínából származó IP-címe van.

A konkrét C2-címet (47.92.123.17) korábban a Windows-gépeket célzó Cobalt Strike-támadásokhoz kapcsolták. Ez az összefüggés potenciális kapcsolatot vagy hasonlóságot sugall a megfigyelt támadás infrastruktúrája és a korábbi Cobalt Strike tevékenység között.

Mielőtt elkezdené „beaconing tevékenységét”, a rakomány megtévesztő taktikát alkalmaz, hogy csalóka PDF-fájl megjelenítésével félrevezesse az áldozatokat. A megjelenített dokumentum egy Xy Yiqing nevű személy önéletrajzának álcázza magát, és célja, hogy elterelje az áldozat figyelmét azokról a fenyegető tevékenységekről, amelyeket a kártevő a háttérben hajt végre.

Ez a specifikus Geacon hasznos teher egy sor képességgel rendelkezik, beleértve a hálózati kommunikáció támogatását, az adattitkosítási és visszafejtési funkciókat, lehetővé teszi további rakományok letöltését, és megkönnyíti az adatok kiszűrését a feltört rendszerből.

A trójai alkalmazásban rejtőző Geacon rosszindulatú program

A második Geacon Malware rakományt a SecureLink.app és a SecureLink_Client, a biztonságos távoli támogatáshoz használt legitim SecureLink alkalmazás módosított verziói telepítik. Ez a trójai verzió azonban tartalmazza a „Geacon Pro” kártevő egy példányát. Ez a hasznos teher kifejezetten az OS X 10.9 (Mavericks) vagy újabb verzióit futtató Intel-alapú Mac rendszereket célozza meg.

Az alkalmazás elindításakor különféle engedélyeket kér, beleértve a számítógép kamerájához, mikrofonjához, névjegyekhez, fényképekhez, emlékeztetőkhöz, sőt rendszergazdai jogosultságokhoz való hozzáférést is. Ezeket az engedélyeket általában az Apple Transparency, Consent and Control (TCC) adatvédelmi keretrendszere védi, és ezek megadása jelentős kockázatokat rejt magában.

Az ezekkel az engedélyekkel járó magas kockázat ellenére azonban nem olyan szokatlanok a Geacon Malware által álcázott alkalmazástípusok esetében, amelyek enyhítik a felhasználó gyanúját, és ráveszik őket, hogy megadják a kért engedélyeket. A rendelkezésre álló információk szerint ez a Geacon Malware változat egy Japánban található C2 szerverrel kommunikál, amelynek IP-címe 13.230.229.15.

Az elmúlt években észrevehetően megnövekedett a Mac-eszközöket célzó rosszindulatú támadások száma. Ez az emelkedés a Mac számítógépek növekvő népszerűségének és annak a tévhitnek tudható be, hogy immunisak a rosszindulatú programokra. A kiberbűnözők felismerték a Mac-felhasználók megcélzásában rejlő potenciális értéket, ami kifinomultabb és célzottabb, kifejezetten macOS rendszerekre tervezett rosszindulatú programok kifejlesztéséhez és telepítéséhez vezetett. Ez természetesen fokozott éberséget tesz szükségessé a Mac felhasználók részéről, és megfelelő biztonsági intézkedések bevezetését teszi szükségessé, hogy megvédjék eszközeiket a rosszindulatú programoktól.