Geacon Mac Malware

យោងតាមក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិត Geacon Malware គឺជាការអនុវត្តកម្មវិធី Cobalt Strike beacon ដែលបង្កើតឡើងដោយប្រើភាសាកម្មវិធី Go ។ ការគំរាមកំហែងនេះបានលេចចេញជាឧបករណ៍គំរាមកំហែងដ៏ខ្លាំងក្លាមួយសម្រាប់កំណត់គោលដៅឧបករណ៍ macOS ។ ខណៈពេលដែល Geacon និង Cobalt Strike ត្រូវបានរចនាឡើងដំបូងជាឧបករណ៍ប្រើប្រាស់ស្របច្បាប់ដែលប្រើប្រាស់ដោយអង្គការដើម្បីសាកល្បងសុវត្ថិភាពបណ្តាញរបស់ពួកគេតាមរយៈការក្លែងធ្វើការវាយប្រហារ តួអង្គដែលមានគំនិតអាក្រក់បានកេងប្រវ័ញ្ចពួកគេកាន់តែខ្លាំងឡើងសម្រាប់សកម្មភាពមិនសមរម្យផ្សេងៗ។

អស់រយៈពេលជាច្រើនឆ្នាំ តួអង្គគំរាមកំហែងបានទាញយកអត្ថប្រយោជន៍ពី Cobalt Strike ដើម្បីសម្របសម្រួលប្រព័ន្ធវីនដូ ដែលដឹកនាំឧស្សាហកម្មសន្តិសុខតាមអ៊ីនធឺណិតដើម្បីទប់ទល់នឹងការគំរាមកំហែងជាបន្តបន្ទាប់នេះ។ ទោះជាយ៉ាងណាក៏ដោយ ការកើនឡើងថ្មីៗនៃការប្រើប្រាស់ Geacon បង្ហាញពីការពង្រីកវិសាលភាពនៃការវាយប្រហារដែលផ្តោតលើឧបករណ៍ macOS ។ នេះបង្ហាញពីតម្រូវការសម្រាប់ការបង្កើនការប្រុងប្រយ័ត្ន និងវិធានការសកម្មដើម្បីទប់ទល់នឹងយុទ្ធសាស្ត្រវិវត្តដែលប្រើប្រាស់ដោយអ្នកគំរាមកំហែងប្រើប្រាស់ឧបករណ៍ទាំងនេះ។ ព័ត៌មានលម្អិតអំពី Geacon Malware និងសមត្ថភាពបង្កគ្រោះថ្នាក់របស់វាត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍មួយដោយក្រុមអ្នកស្រាវជ្រាវដែលបានតាមដានសកម្មភាពនៃការគំរាមកំហែងនេះ។

វ៉ារ្យ៉ង់ពីរនៃមេរោគ Geacon Malware ត្រូវបានគេសង្កេតឃើញនៅក្នុងព្រៃ

ឯកសារដំបូងដែលភ្ជាប់ជាមួយ Geacon គឺជាអាប់ភ្លេត AppleScript ដែលមានឈ្មោះថា 'Xu Yiqing's Resume_20230320.app ។' គោលបំណងរបស់វាគឺដើម្បីផ្ទៀងផ្ទាត់ថាវាពិតជាដំណើរការលើប្រព័ន្ធ macOS មែន។ នៅពេលដែលវាត្រូវបានបញ្ជាក់ ឯកសារនឹងបន្តទៅយក payload ដែលមិនចុះហត្ថលេខាដែលគេស្គាល់ថា 'Geacon Plus' ពីម៉ាស៊ីនមេ Command-and-Control (C2) របស់អ្នកវាយប្រហារ ដែលមានអាសយដ្ឋាន IP ដែលមានប្រភពមកពីប្រទេសចិន។

អាសយដ្ឋាន C2 ជាក់លាក់ (47.92.123.17) ត្រូវបានភ្ជាប់ពីមុនទៅនឹងការវាយប្រហារ Cobalt Strike ដែលផ្តោតលើម៉ាស៊ីន Windows ។ សមាគមនេះបង្ហាញពីការតភ្ជាប់សក្តានុពល ឬភាពស្រដៀងគ្នារវាងហេដ្ឋារចនាសម្ព័ន្ធនៃការវាយប្រហារដែលបានសង្កេតឃើញ និងករណីពីមុននៃសកម្មភាព Cobalt Strike ។

មុនពេលចាប់ផ្តើម 'សកម្មភាព beaconing' របស់ខ្លួន payload ប្រើល្បិចបោកបញ្ឆោតដើម្បីបំភាន់ជនរងគ្រោះដោយបង្ហាញឯកសារ PDF បោកបញ្ឆោត។ ឯកសារដែលបង្ហាញនោះ បង្ហាញជាប្រវត្តិរូបសង្ខេបដែលជាកម្មសិទ្ធិរបស់បុគ្គលម្នាក់ឈ្មោះ Xy Yiqing ក្នុងគោលបំណងបង្វែរការយកចិត្តទុកដាក់របស់ជនរងគ្រោះពីសកម្មភាពគំរាមកំហែងដែលមេរោគកំពុងដំណើរការនៅផ្ទៃខាងក្រោយ។

បន្ទុក Geacon ជាក់លាក់នេះមានសមត្ថភាពជាច្រើន រួមទាំងការគាំទ្រការទំនាក់ទំនងបណ្តាញ អនុវត្តមុខងារអ៊ិនគ្រីបទិន្នន័យ និងការឌិគ្រីប អនុញ្ញាតឱ្យទាញយកបន្ទុកបន្ថែម និងសម្របសម្រួលការដកយកទិន្នន័យចេញពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

មេរោគ Geacon លាក់នៅខាងក្នុងកម្មវិធី Trojanized

ការផ្ទុកមេរោគ Geacon Malware ទីពីរត្រូវបានដាក់ឱ្យប្រើប្រាស់តាមរយៈ SecureLink.app និង SecureLink_Client ដែលជាកំណែដែលបានកែប្រែនៃកម្មវិធី SecureLink ស្របច្បាប់ដែលប្រើសម្រាប់ការគាំទ្រពីចម្ងាយដែលមានសុវត្ថិភាព។ ទោះយ៉ាងណាក៏ដោយ កំណែ Trojanized នេះរួមបញ្ចូលទាំងច្បាប់ចម្លងនៃមេរោគ 'Geacon Pro' ។ បន្ទុកពិសេសនេះផ្តោតជាពិសេសទៅលើប្រព័ន្ធ Mac ដែលមានមូលដ្ឋានលើ Intel ដែលដំណើរការ OS X 10.9 (Mavericks) ឬកំណែក្រោយៗទៀត។

នៅពេលបើកដំណើរការកម្មវិធី វាស្នើសុំការអនុញ្ញាតផ្សេងៗ រួមទាំងការចូលទៅកាន់កាមេរ៉ា មីក្រូហ្វូនរបស់កុំព្យូទ័រ ទំនាក់ទំនង រូបថត ការរំលឹក និងសូម្បីតែសិទ្ធិជាអ្នកគ្រប់គ្រង។ ការអនុញ្ញាតទាំងនេះជាធម្មតាត្រូវបានការពារដោយក្របខ័ណ្ឌភាពឯកជន តម្លាភាព ការយល់ព្រម និងការគ្រប់គ្រង (TCC) របស់ Apple ហើយការផ្តល់ឱ្យពួកវាបង្កហានិភ័យយ៉ាងសំខាន់។

ទោះជាយ៉ាងណាក៏ដោយ ទោះបីជាមានហានិភ័យខ្ពស់ដែលទាក់ទងនឹងការអនុញ្ញាតទាំងនេះក៏ដោយ ក៏វាមិនធម្មតាដែរសម្រាប់ប្រភេទនៃកម្មវិធីដែល Geacon Malware កំពុងក្លែងបន្លំ ដូចជាការបន្ធូរបន្ថយការសង្ស័យរបស់អ្នកប្រើប្រាស់ និងបញ្ឆោតពួកគេឱ្យផ្តល់ការអនុញ្ញាតដែលបានស្នើសុំ។ យោងតាមព័ត៌មានដែលមាន វ៉ារ្យ៉ង់ Geacon Malware នេះទាក់ទងជាមួយម៉ាស៊ីនមេ C2 ដែលមានទីតាំងនៅប្រទេសជប៉ុន ជាមួយនឹងអាសយដ្ឋាន IP 13.230.229.15 ។

ក្នុងរយៈពេលប៉ុន្មានឆ្នាំចុងក្រោយនេះ មានការកើនឡើងគួរឱ្យកត់សម្គាល់នៃការវាយប្រហារមេរោគដែលផ្តោតលើឧបករណ៍ Mac ។ ការកើនឡើងនេះអាចត្រូវបានគេសន្មតថាដោយសារតែការកើនឡើងនៃប្រជាប្រិយភាពនៃកុំព្យូទ័រ Mac និងការយល់ខុសថាពួកគេមានភាពស៊ាំនឹងមេរោគ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានទទួលស្គាល់តម្លៃសក្តានុពលក្នុងការកំណត់គោលដៅអ្នកប្រើប្រាស់ Mac ដែលនាំទៅដល់ការអភិវឌ្ឍន៍ និងការដាក់ឱ្យប្រើប្រាស់នូវមេរោគដែលមានលក្ខណៈទំនើប និងកំណត់គោលដៅដែលត្រូវបានរចនាឡើងជាពិសេសសម្រាប់ប្រព័ន្ធ macOS ។ ជាធម្មតា នេះតម្រូវឱ្យមានការបង្កើនការប្រុងប្រយ័ត្នពីអ្នកប្រើប្រាស់ Mac និងការអនុវត្តវិធានការសុវត្ថិភាពគ្រប់គ្រាន់ដើម្បីការពារឧបករណ៍របស់ពួកគេពីការឆ្លងមេរោគ។