Geacon Mac kenkėjiška programa

Kibernetinio saugumo tyrinėtojų teigimu, „Geacon Malware“ yra „Cobalt Strike“ švyturio įgyvendinimas, sukurtas naudojant „Go“ programavimo kalbą. Grėsmė pasirodė kaip stipri grėsminga priemonė, skirta nukreipti į „MacOS“ įrenginius. Nors „Geacon“ ir „Cobalt Strike“ iš pradžių buvo sukurtos kaip teisėtos komunalinės paslaugos, kurias organizacijos naudojo savo tinklo saugumui tikrinti pasitelkdamos imituotas atakas, tačiau piktavališki veikėjai vis dažniau jas išnaudojo įvairiai nešvankiai veiklai.

Daugelį metų grėsmės veikėjai naudojosi Cobalt Strike, kad sukompromituotų Windows sistemas, todėl kibernetinio saugumo pramonė nuolat kovoja su šia nuolatine grėsme. Tačiau pastaruoju metu išaugęs „Geacon“ naudojimas išryškina besiplečiančią atakų, nukreiptų prieš „macOS“ įrenginius, apimtį. Tai reiškia, kad reikia didesnio budrumo ir aktyvių priemonių, kad būtų atremta besikeičiančios taktikos, kurią taiko grėsmės veikėjai, naudojantys šias priemones. Išsamią informaciją apie „Geacon“ kenkėjišką programą ir jos žalingas galimybes paskelbė tyrėjai, kurie stebėjo grėsmės veiklą.

Du „Geacon“ kenkėjiškos programos variantai, pastebėti laukinėje gamtoje

Pirmasis su Geacon susietas failas yra AppleScript programėlė, pavadinta Xu Yiqing's Resume_20230320.app. Jo tikslas – patikrinti, ar jis tikrai veikia „macOS“ sistemoje. Kai tai patvirtinama, failas iš užpuolikų komandų ir valdymo (C2) serverio, kurio IP adresas yra iš Kinijos, nuskaito nepasirašytą naudingą apkrovą, vadinamą „Geacon Plus“.

Konkretus C2 adresas (47.92.123.17) anksčiau buvo susietas su „Cobalt Strike“ atakomis, nukreiptomis į „Windows“ įrenginius. Ši asociacija rodo galimą ryšį arba panašumą tarp stebimos atakos infrastruktūros ir ankstesnių Cobalt Strike veiklos atvejų.

Prieš pradėdamas „švyturio veiklą“, naudingasis krovinys taiko apgaulingą taktiką, kad suklaidintų aukas rodydama jauko PDF failą. Rodomas dokumentas vaizduojamas kaip asmens, vardu Xy Yiqing, gyvenimo aprašymas, kuriuo siekiama nukreipti aukos dėmesį nuo grėsmingų veiksmų, kuriuos kenkėjiška programa atlieka fone.

Šis specifinis „Geacon“ krovinys turi daugybę galimybių, įskaitant tinklo ryšių palaikymą, duomenų šifravimo ir iššifravimo funkcijų atlikimą, galimybę atsisiųsti papildomų naudingų krovinių ir palengvinti duomenų išfiltravimą iš pažeistos sistemos.

„Geacon“ kenkėjiška programa slepiasi Trojanizuotose programose

Antroji „Geacon Malware“ naudingoji apkrova yra įdiegta naudojant „SecureLink.app“ ir „SecureLink_Client“ – modifikuotas teisėtos „SecureLink“ programos, naudojamos saugiam nuotoliniam palaikymui, versijas. Tačiau šioje trojaninėje versijoje yra „Geacon Pro“ kenkėjiškos programos kopija. Šis konkretus krovinys yra skirtas „Intel“ pagrindu veikiančioms „Mac“ sistemoms, kuriose veikia OS X 10.9 („Mavericks“) arba naujesnės versijos.

Paleidus programą, ji prašo įvairių leidimų, įskaitant prieigą prie kompiuterio kameros, mikrofono, kontaktų, nuotraukų, priminimų ir net administratoriaus privilegijų. Šiuos leidimus paprastai saugo „Apple“ skaidrumo, sutikimo ir kontrolės (TCC) privatumo sistema, o jų suteikimas kelia didelę riziką.

Tačiau, nepaisant didelės rizikos, susijusios su šiais leidimais, jie nėra tokie neįprasti to tipo programoms, kuriomis apsimeta „Geacon“ kenkėjiška programa, palengvindama vartotojo įtarimus ir priversdama juos suteikti prašomus leidimus. Remiantis turima informacija, šis Geacon Malware variantas bendrauja su Japonijoje esančiu C2 serveriu, kurio IP adresas yra 13.230.229.15.

Pastaraisiais metais pastebimai padaugėjo kenkėjiškų programų atakų, nukreiptų prieš „Mac“ įrenginius. Šis augimas gali būti siejamas su didėjančiu „Mac“ kompiuterių populiarumu ir klaidinga nuomone, kad jie yra apsaugoti nuo kenkėjiškų programų. Kibernetiniai nusikaltėliai pripažino potencialią vertę nukreipti į „Mac“ naudotojus, todėl buvo sukurta ir įdiegta sudėtingesnė ir tikslinga kenkėjiška programa, specialiai sukurta „MacOS“ sistemoms. Natūralu, kad tai reikalauja didesnio „Mac“ naudotojų budrumo ir pakankamų saugumo priemonių, kad apsaugotų savo įrenginius nuo kenkėjiškų programų.