다중 라이센스 할인
Threat Database Mac Malware Geacon Mac 악성코드

Geacon Mac 악성코드

Mac Malware, Trojans년에 Mezo 년까지
번역 :
한국어

사이버 보안 연구원에 따르면 Geacon Malware는 Go 프로그래밍 언어를 사용하여 구축된 Cobalt Strike 비콘을 구현한 것입니다. 이 위협은 macOS 장치를 대상으로 하는 강력한 위협 도구로 등장했습니다. Geacon 및 Cobalt Strike는 원래 조직에서 모의 공격을 통해 네트워크 보안을 테스트하는 데 사용하는 합법적인 유틸리티로 설계되었지만 악의를 품은 행위자는 점점 더 다양한 사악한 활동에 이를 악용하고 있습니다.

수년 동안 위협 행위자들은 Cobalt Strike를 이용하여 Windows 시스템을 손상시켜 사이버 보안 업계가 이 지속적인 위협에 지속적으로 대처하도록 이끌었습니다. 그러나 최근 Geacon 사용이 증가하면서 macOS 장치를 대상으로 하는 공격 범위가 확대되고 있습니다. 이는 이러한 도구를 활용하는 위협 행위자가 사용하는 진화하는 전술에 대응하기 위해 강화된 경계와 선제적 조치가 필요함을 의미합니다. Geacon 멀웨어와 그 유해한 기능에 대한 자세한 내용은 위협 활동을 모니터링한 연구원의 보고서에서 공개되었습니다.

야생에서 관찰된 Geacon 멀웨어의 두 변종

Geacon과 관련된 첫 번째 파일은 'Xu Yiqing's Resume_20230320.app'이라는 AppleScript 애플릿입니다. 그것의 목적은 실제로 macOS 시스템에서 실행되고 있는지 확인하는 것입니다. 이것이 확인되면 파일은 공격자의 명령 및 제어(C2) 서버에서 'Geacon Plus'라는 서명되지 않은 페이로드를 검색합니다. 이 서버의 IP 주소는 중국에서 시작되었습니다.

특정 C2 주소(47.92.123.17)는 이전에 Windows 시스템을 대상으로 하는 Cobalt Strike 공격에 연결되었습니다. 이 연관성은 관찰된 공격의 인프라와 이전 Cobalt Strike 활동 인스턴스 간의 잠재적 연결 또는 유사성을 시사합니다.

페이로드는 '비커닝 활동'을 시작하기 전에 사기성 PDF 파일을 표시하여 피해자를 오도하는 기만적인 전술을 사용합니다. 표시된 문서는 Xy Yiqing이라는 개인의 이력서로 가장하여 멀웨어가 백그라운드에서 수행하는 위협적인 행동으로부터 피해자의 주의를 돌리는 것을 목표로 합니다.

이 특정 Geacon 페이로드는 네트워크 통신 지원, 데이터 암호화 및 암호 해독 기능 수행, 추가 페이로드 다운로드 활성화, 손상된 시스템에서 데이터 유출 촉진 등 다양한 기능을 보유하고 있습니다.

트로이 목마화된 애플리케이션 내부에 숨어 있는 Geacon 악성코드

두 번째 Geacon Malware 페이로드는 보안 원격 지원에 사용되는 합법적인 SecureLink 애플리케이션의 수정된 버전인 SecureLink.app 및 SecureLink_Client를 통해 배포됩니다. 그러나 이 트로이 목마 버전에는 'Geacon Pro' 악성코드의 복사본이 포함되어 있습니다. 이 특정 페이로드는 특히 OS X 10.9(Mavericks) 이상 버전을 실행하는 Intel 기반 Mac 시스템을 대상으로 합니다.

애플리케이션을 실행하면 컴퓨터의 카메라, 마이크, 연락처, 사진, 미리 알림 및 관리자 권한에 대한 액세스를 포함하여 다양한 권한을 요청합니다. 이러한 권한은 일반적으로 Apple의 TCC(투명성, 동의 및 제어) 개인 정보 보호 프레임워크에 의해 보호되며 이러한 권한을 부여하면 상당한 위험이 따릅니다.

그러나 이러한 권한과 관련된 높은 수준의 위험에도 불구하고 Geacon 맬웨어가 위장하여 사용자의 의심을 완화하고 요청된 권한을 부여하도록 속이는 애플리케이션 유형에서는 그리 드문 일이 아닙니다. 사용 가능한 정보에 따르면 이 Geacon 악성코드 변종은 IP 주소 13.230.229.15로 일본에 위치한 C2 서버와 통신합니다.

지난 몇 년 동안 Mac 장치를 대상으로 하는 맬웨어 공격이 눈에 띄게 증가했습니다. 이러한 증가는 Mac 컴퓨터의 인기가 높아지고 Mac 컴퓨터가 맬웨어에 면역이 있다는 오해 때문일 수 있습니다. 사이버 범죄자들은 Mac 사용자를 대상으로 하는 잠재적인 가치를 인식하여 macOS 시스템용으로 특별히 설계된 보다 정교하고 대상이 지정된 맬웨어의 개발 및 배포로 이어졌습니다. 당연히 이를 위해서는 Mac 사용자의 경계를 높이고 장치를 맬웨어 감염으로부터 보호하기 위한 충분한 보안 조치를 구현해야 합니다.

트렌드

Elibe Ransomware

Ransomware
Elibe 랜섬웨어는 파일을 암호화하고 이름에 ".elibe"를 추가하여 피해자가 데이터에 접근할 수 없도록 만드는 기능이 특징입니다. Elibe 랜섬웨어는 다른 랜섬웨어와 마찬가지로 컴퓨터 시스템에 은밀하게 침투하여 종종 오래된 소프트웨어의 취약점을 이용하거나 피싱 이메일이나 악성 첨부 파일과 같은 사회 공학적 전술을 활용합니다. 피해자의 시스템에...

Antivirus.safe-web-pc.com

Rogue Websites
Antivirus.safe-web-pc.com은 방문자를 겁주어 안티바이러스 보안 솔루션에 대한 라이센스를 구매하도록 하는 속이는 웹사이트입니다. 사이트의 목표는 수수료의 형태로 제작자에게 금전적 이익을 얻는 것입니다. 페이지를 방문하는 사용자는 컴퓨터나 장치에서 여러 맬웨어 위협이 감지되었다는 가짜 경고가 표시됩니다. 의심스러운 사이트는 가짜 주장이...

가장 많이 본

Lookmovie.io는 안전한가요? 스크린샷

Lookmovie.io는 안전한가요?

Issue
29,393
Lookmovie.io는 동영상 스트리밍 사이트입니다. 문제는 불법 스트리밍을 위해 제공되는 콘텐츠입니다. 또한 사이트는 불량 광고 네트워크를 통해 금전적 이득을 얻습니다. 결과적으로 사용자는 종종 의심스러운 광고를 보게 되거나 웹 브라우저에서 의심스러운 웹사이트를 열게 됩니다. 실제로, 이는 불법적으로 제공되는 콘텐츠를 무시하면 사이트 자체는 안전할...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
24,877
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
23,910
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...