Perisian Hasad Geacon Mac

Menurut penyelidik keselamatan siber, Geacon Malware ialah pelaksanaan suar Cobalt Strike, dibina menggunakan bahasa pengaturcaraan Go. Ancaman itu telah muncul sebagai alat ancaman yang kuat untuk menyasarkan peranti macOS. Walaupun Geacon dan Cobalt Strike pada asalnya direka sebagai utiliti sah yang digunakan oleh organisasi untuk menguji keselamatan rangkaian mereka melalui serangan simulasi, pelakon yang berfikiran jahat telah semakin mengeksploitasi mereka untuk pelbagai aktiviti jahat.

Selama bertahun-tahun, pelaku ancaman telah mengambil kesempatan daripada Cobalt Strike untuk menjejaskan sistem Windows, mengetuai industri keselamatan siber untuk memerangi ancaman berterusan ini secara berterusan. Walau bagaimanapun, peningkatan baru-baru ini dalam penggunaan Geacon menyerlahkan skop serangan yang semakin meluas yang menyasarkan peranti macOS. Ini menandakan keperluan untuk meningkatkan kewaspadaan dan langkah proaktif untuk menentang taktik berkembang yang digunakan oleh pelaku ancaman yang memanfaatkan alat ini. Butiran tentang Perisian Hasad Geacon dan keupayaan berbahayanya telah dikeluarkan dalam laporan oleh penyelidik yang telah memantau aktiviti ancaman itu.

Dua Varian Perisian Hasad Geacon Diperhatikan di Alam Liar

Fail pertama yang dikaitkan dengan Geacon ialah applet AppleScript bernama 'Xu Yiqing's Resume_20230320.app.' Tujuannya adalah untuk mengesahkan bahawa ia memang berjalan pada sistem macOS. Sebaik sahaja ini telah disahkan, fail itu meneruskan untuk mendapatkan semula muatan yang tidak ditandatangani yang dikenali sebagai 'Geacon Plus' daripada pelayan Command-and-Control (C2) penyerang, yang mempunyai alamat IP yang berasal dari China.

Alamat C2 khusus (47.92.123.17) sebelum ini telah dikaitkan dengan serangan Cobalt Strike yang menyasarkan mesin Windows. Perkaitan ini mencadangkan kemungkinan sambungan atau persamaan antara infrastruktur serangan yang diperhatikan dan kejadian sebelumnya aktiviti Cobalt Strike.

Sebelum memulakan 'aktiviti penyiaran'nya, muatan menggunakan taktik menipu untuk mengelirukan mangsa dengan memaparkan fail PDF tipu. Dokumen yang dipaparkan menyamar sebagai resume milik individu bernama Xy Yiqing, bertujuan untuk mengalihkan perhatian mangsa daripada tindakan mengancam yang dilakukan oleh perisian hasad di latar belakang.

Muatan Geacon khusus ini mempunyai pelbagai keupayaan, termasuk menyokong komunikasi rangkaian, melaksanakan penyulitan data dan fungsi penyahsulitan, membolehkan muat turun muatan tambahan, dan memudahkan penyusutan data daripada sistem yang terjejas.

Perisian Hasad Geacon Bersembunyi Di Dalam Aplikasi Trojan

Muatan Malware Geacon kedua digunakan melalui SecureLink.app dan SecureLink_Client, versi diubah suai bagi aplikasi SecureLink yang sah yang digunakan untuk sokongan jauh selamat. Walau bagaimanapun, versi trojan ini termasuk salinan perisian hasad 'Geacon Pro'. Muatan khusus ini menyasarkan sistem Mac berasaskan Intel yang menjalankan OS X 10.9 (Mavericks) atau versi yang lebih baru.

Selepas melancarkan aplikasi, ia meminta pelbagai kebenaran, termasuk akses kepada kamera komputer, mikrofon, kenalan, foto, peringatan dan juga keistimewaan pentadbir. Kebenaran ini biasanya dilindungi oleh rangka kerja privasi Ketelusan, Persetujuan dan Kawalan (TCC) Apple dan pemberiannya menimbulkan risiko yang besar.

Walau bagaimanapun, walaupun tahap risiko tinggi yang dikaitkan dengan kebenaran ini, ia bukanlah sesuatu yang luar biasa untuk jenis aplikasi yang disamarkan oleh Malware Geacon, meredakan syak wasangka pengguna dan memperdaya mereka untuk memberikan kebenaran yang diminta. Mengikut maklumat yang ada, varian Geacon Malware ini berkomunikasi dengan pelayan C2 yang terletak di Jepun, dengan alamat IP 13.230.229.15.

Dalam tahun-tahun lepas, terdapat peningkatan ketara dalam serangan perisian hasad yang menyasarkan peranti Mac. Peningkatan ini boleh dikaitkan dengan peningkatan populariti komputer Mac dan salah tanggapan bahawa mereka kebal terhadap perisian hasad. Penjenayah siber telah mengiktiraf potensi nilai dalam menyasarkan pengguna Mac, yang membawa kepada pembangunan dan penggunaan perisian hasad yang lebih canggih dan disasarkan yang direka khusus untuk sistem macOS. Sememangnya, ini memerlukan peningkatan kewaspadaan daripada pengguna Mac dan pelaksanaan langkah keselamatan yang mencukupi untuk melindungi peranti mereka daripada jangkitan perisian hasad.