Geacon Mac ļaunprātīga programmatūra

Pēc kiberdrošības pētnieku domām, Geacon Malware ir Cobalt Strike bākas ieviešana, kas izveidota, izmantojot Go programmēšanas valodu. Draudi ir parādījušies kā spēcīgs draudošs rīks, lai mērķētu uz macOS ierīcēm. Kamēr Geacon un Cobalt Strike sākotnēji tika izstrādātas kā likumīgas utilītas, ko organizācijas izmantoja, lai pārbaudītu savu tīkla drošību, izmantojot simulētus uzbrukumus, ļaunprātīgie dalībnieki tos arvien vairāk izmanto dažādām negodīgām darbībām.

Gadiem ilgi draudu dalībnieki ir izmantojuši Cobalt Strike sniegtās priekšrocības, lai kompromitētu Windows sistēmas, liekot kiberdrošības nozarei pastāvīgi cīnīties ar šo pastāvīgo apdraudējumu. Tomēr nesenais Geacon izmantošanas pieaugums izceļ to uzbrukumu paplašināšanos, kuru mērķis ir macOS ierīces. Tas nozīmē vajadzību pēc pastiprinātas modrības un proaktīviem pasākumiem, lai cīnītos pret mainīgo taktiku, ko izmanto apdraudējuma dalībnieki, izmantojot šos rīkus. Sīkāka informācija par Geacon ļaunprogrammatūru un tās kaitīgajām iespējām tika publicēta ziņojumā, ko sagatavojuši pētnieki, kuri uzrauga apdraudējuma darbību.

Divi Geacon ļaunprātīgas programmatūras varianti, kas novēroti savvaļā

Pirmais ar Geacon saistītais fails ir AppleScript sīklietotne ar nosaukumu "Xu Yiqing's Resume_20230320.app". Tās mērķis ir pārbaudīt, vai tas patiešām darbojas macOS sistēmā. Kad tas ir apstiprināts, fails turpinās, lai no uzbrucēja Command-and-Control (C2) servera izgūtu neparakstītu lietderīgo slodzi, kas pazīstama kā “Geacon Plus”, kuras IP adrese ir no Ķīnas.

Konkrētā C2 adrese (47.92.123.17) iepriekš ir bijusi saistīta ar Cobalt Strike uzbrukumiem, kas vērsti pret Windows iekārtām. Šī saistība liecina par iespējamu saistību vai līdzību starp novērotā uzbrukuma infrastruktūru un iepriekšējiem Cobalt Strike darbības gadījumiem.

Pirms “bākas darbības” sākšanas krava izmanto maldinošu taktiku, lai maldinātu upurus, parādot mānekļu PDF failu. Parādītais dokuments tiek maskēts kā CV, kas pieder personai Xy Yiqing, kura mērķis ir novērst upura uzmanību no draudošajām darbībām, kuras ļaunprogrammatūra veic fonā.

Šai konkrētajai Geacon kravai ir virkne iespēju, tostarp atbalsta tīkla sakarus, veic datu šifrēšanas un atšifrēšanas funkcijas, ļauj lejupielādēt papildu kravas un atvieglo datu izfiltrēšanu no apdraudētās sistēmas.

Geacon ļaunprātīga programmatūra, kas slēpjas Trojas lietojumprogrammā

Otrā Geacon Malware lietderīgā slodze tiek izvietota, izmantojot SecureLink.app un SecureLink_Client — likumīgās SecureLink lietojumprogrammas modificētās versijas, ko izmanto drošam attālajam atbalstam. Tomēr šajā trojanizētajā versijā ir iekļauta ļaunprogrammatūras "Geacon Pro" kopija. Šī konkrētā kravnesība ir īpaši paredzēta uz Intel balstītām Mac sistēmām, kurās darbojas OS X 10.9 (Mavericks) vai jaunākas versijas.

Palaižot lietojumprogrammu, tā pieprasa dažādas atļaujas, tostarp piekļuvi datora kamerai, mikrofonam, kontaktiem, fotoattēliem, atgādinājumiem un pat administratora privilēģijām. Šīs atļaujas parasti aizsargā Apple pārredzamības, piekrišanas un kontroles (TCC) privātuma ietvars, un to piešķiršana rada ievērojamus riskus.

Tomēr, neskatoties uz augsto riska līmeni, kas saistīts ar šīm atļaujām, tās nav tik neparastas lietojumprogrammas veidam, par kuru maskējas Geacon Malware, tādējādi mazinot lietotāja aizdomas un māninot viņus piešķirt pieprasītās atļaujas. Saskaņā ar pieejamo informāciju šis Geacon Malware variants sazinās ar C2 serveri, kas atrodas Japānā, ar IP adresi 13.230.229.15.

Pēdējos gados ir ievērojami pieaudzis ļaunprātīgas programmatūras uzbrukumu skaits, kuru mērķis ir Mac ierīces. Šo pieaugumu var saistīt ar Mac datoru pieaugošo popularitāti un maldīgo priekšstatu, ka tie ir imūni pret ļaunprātīgu programmatūru. Kibernoziedznieki ir atzinuši potenciālo vērtību mērķēšanai uz Mac lietotājiem, kā rezultātā tiek izstrādāta un ieviesta sarežģītāka un mērķtiecīgāka ļaunprātīga programmatūra, kas īpaši izstrādāta MacOS sistēmām. Protams, tas prasa pastiprinātu Mac lietotāju modrību un pietiekamu drošības pasākumu ieviešanu, lai aizsargātu savas ierīces no ļaunprātīgas programmatūras infekcijām.