Geacon Mac Malware

I følge cybersikkerhetsforskere er Geacon Malware en implementering av Cobalt Strike-beacon, bygget ved hjelp av programmeringsspråket Go. Trusselen har dukket opp som et potent truende verktøy for målretting mot macOS-enheter. Mens Geacon og Cobalt Strike opprinnelig ble utformet som legitime verktøy som ble brukt av organisasjoner for å teste nettverkssikkerheten deres gjennom simulerte angrep, har ondsinnede aktører i økende grad utnyttet dem til ulike ondsinnede aktiviteter.

I årevis har trusselaktører utnyttet Cobalt Strike for å kompromittere Windows-systemer, noe som har ført til at cybersikkerhetsindustrien kontinuerlig bekjemper denne vedvarende trusselen. Imidlertid fremhever den nylige økningen i bruken av Geacon det økende omfanget av angrep rettet mot macOS-enheter. Dette indikerer behovet for økt årvåkenhet og proaktive tiltak for å motvirke den utviklende taktikken som brukes av trusselaktører som utnytter disse verktøyene. Detaljer om Geacon Malware og dens skadelige egenskaper ble utgitt i en rapport fra forskerne som har overvåket trusselens aktivitet.

To varianter av Geacon Malware observert i naturen

Den første filen knyttet til Geacon er en AppleScript-applet kalt 'Xu Yiqing's Resume_20230320.app.' Hensikten er å bekrefte at den faktisk kjører på et macOS-system. Når dette er bekreftet, fortsetter filen med å hente en usignert nyttelast kjent som 'Geacon Plus' fra angripernes Command-and-Control-server (C2), som har en IP-adresse som kommer fra Kina.

Den spesifikke C2-adressen (47.92.123.17) har tidligere vært knyttet til Cobalt Strike-angrep rettet mot Windows-maskiner. Denne assosiasjonen antyder en potensiell sammenheng eller likhet mellom infrastrukturen til det observerte angrepet og tidligere tilfeller av Cobalt Strike-aktivitet.

Før den starter sin «beaconing-aktivitet», bruker nyttelasten en villedende taktikk for å villede ofre ved å vise en lokke-PDF-fil. Det viste dokumentet maskerer seg som en CV som tilhører en person som heter Xy Yiqing, med sikte på å avlede offerets oppmerksomhet fra de truende handlingene som skadelig programvare utfører i bakgrunnen.

Denne spesifikke Geacon-nyttelasten har en rekke funksjoner, inkludert støtte for nettverkskommunikasjon, utføre datakryptering og dekrypteringsfunksjoner, muliggjøre nedlasting av ekstra nyttelast og tilrettelegge for eksfiltrering av data fra det kompromitterte systemet.

Geacon Malware skjuler seg inne i trojanisert applikasjon

Den andre Geacon Malware-nyttelasten distribueres gjennom SecureLink.app og SecureLink_Client, modifiserte versjoner av den legitime SecureLink-applikasjonen som brukes for sikker fjernstøtte. Denne trojaniserte versjonen inkluderer imidlertid en kopi av "Geacon Pro" skadelig programvare. Denne spesielle nyttelasten er spesifikt rettet mot Intel-baserte Mac-systemer som kjører OS X 10.9 (Mavericks) eller nyere versjoner.

Når applikasjonen startes, ber den om ulike tillatelser, inkludert tilgang til datamaskinens kamera, mikrofon, kontakter, bilder, påminnelser og til og med administratorrettigheter. Disse tillatelsene er vanligvis beskyttet av Apples personvernrammeverk for åpenhet, samtykke og kontroll (TCC), og å gi dem utgjør en betydelig risiko.

Til tross for det høye risikonivået forbundet med disse tillatelsene, er de imidlertid ikke så uvanlige for den typen applikasjoner som Geacon Malware maskerer seg som, noe som letter brukerens mistanker og lurer dem til å gi de forespurte tillatelsene. I følge den tilgjengelige informasjonen kommuniserer denne Geacon Malware-varianten med en C2-server lokalisert i Japan, med IP-adressen 13.230.229.15.

I løpet av de siste årene har det vært en merkbar økning i malware-angrep rettet mot Mac-enheter. Denne økningen kan tilskrives den økende populariteten til Mac-datamaskiner og misforståelsen om at de er immune mot skadelig programvare. Nettkriminelle har erkjent den potensielle verdien av å målrette Mac-brukere, noe som fører til utvikling og distribusjon av mer sofistikert og målrettet skadelig programvare spesielt utviklet for macOS-systemer. Naturligvis krever dette økt årvåkenhet fra Mac-brukere og implementering av tilstrekkelige sikkerhetstiltak for å beskytte enhetene deres mot skadelig programvare.