Geacon म्याक मालवेयर
साइबरसुरक्षा अनुसन्धानकर्ताहरूका अनुसार, Geacon Malware कोबाल्ट स्ट्राइक बीकनको कार्यान्वयन हो, गो प्रोग्रामिङ भाषा प्रयोग गरेर निर्मित। यो धम्की macOS उपकरणहरूलाई लक्षित गर्नको लागि एक शक्तिशाली खतरा उपकरणको रूपमा देखा परेको छ। जबकि Geacon र Cobalt Strike लाई मूल रूपमा संगठनहरूले सिमुलेटेड आक्रमणहरू मार्फत तिनीहरूको नेटवर्क सुरक्षा परीक्षण गर्न प्रयोग गर्ने वैध उपयोगिताहरूको रूपमा डिजाइन गरिएको थियो, दुष्ट विचारधाराका अभिनेताहरूले तिनीहरूलाई विभिन्न नापाक गतिविधिहरूको लागि बढ्दो रूपमा शोषण गरेका छन्।
वर्षौंदेखि, धम्की दिने व्यक्तिहरूले विन्डोज प्रणालीहरूमा सम्झौता गर्न कोबाल्ट स्ट्राइकको फाइदा उठाएका छन्, जसले साइबरसुरक्षा उद्योगलाई निरन्तर रूपमा यस निरन्तर खतरासँग लड्न नेतृत्व गरेको छ। जे होस्, Geacon को प्रयोगमा भर्खरको वृद्धिले macOS उपकरणहरूलाई लक्षित गर्ने आक्रमणहरूको विस्तारित दायरालाई हाइलाइट गर्दछ। यसले यी उपकरणहरू प्रयोग गर्ने खतरा अभिनेताहरूद्वारा नियोजित विकसित रणनीतिहरूको सामना गर्न परिष्कृत सतर्कता र सक्रिय उपायहरूको आवश्यकतालाई जनाउँछ। Geacon मालवेयर र यसको हानिकारक क्षमताहरूको बारेमा विवरणहरू धम्कीको गतिविधिलाई निगरानी गरिरहेका अनुसन्धानकर्ताहरूले एक रिपोर्टमा जारी गरेका थिए।
Geacon मालवेयर को दुई भेरियन्ट जंगली मा अवलोकन
Geacon सँग सम्बन्धित पहिलो फाइल 'Xu Yiqing's Resume_20230320.app' नामको AppleScript एप्लेट हो। यसको उद्देश्य यो वास्तवमै macOS प्रणालीमा चलिरहेको छ भनेर प्रमाणित गर्नु हो। एकचोटि यो पुष्टि भएपछि, फाइलले आक्रमणकर्ताहरूको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट 'जियाकन प्लस' भनेर चिनिने हस्ताक्षर नगरिएको पेलोड पुन: प्राप्त गर्न अगाडि बढ्छ, जसको आईपी ठेगाना चीनबाट आएको हो।
विशिष्ट C2 ठेगाना (47.92.123.17) पहिले विन्डोज मिसिनहरूलाई लक्षित गर्ने कोबाल्ट स्ट्राइक आक्रमणहरूसँग जोडिएको छ। यस संघले अवलोकन गरिएको आक्रमणको पूर्वाधार र कोबाल्ट स्ट्राइक गतिविधिको अघिल्लो उदाहरणहरू बीच सम्भावित जडान वा समानताको सुझाव दिन्छ।
यसको 'बिकनिङ गतिविधि' सुरु गर्नु अघि, पेलोडले पीडीएफ फाइल देखाएर पीडितहरूलाई बहकाउने भ्रामक रणनीति प्रयोग गर्दछ। प्रदर्शन गरिएको कागजातले Xy Yiqing नामको व्यक्तिको पुन: सुरुको रूपमा मास्करेड गर्दछ, जसले पृष्ठभूमिमा मालवेयरले गरिरहेको धम्कीपूर्ण कार्यहरूबाट पीडितको ध्यान हटाउने लक्ष्य राख्छ।
यो विशिष्ट Geacon पेलोडसँग नेटवर्क संचारलाई समर्थन गर्ने, डाटा इन्क्रिप्शन र डिक्रिप्शन कार्यहरू प्रदर्शन गर्ने, अतिरिक्त पेलोडहरूको डाउनलोड सक्षम गर्ने, र सम्झौता प्रणालीबाट डाटाको निकासी गर्न सुविधा सहित क्षमताहरूको दायरा छ।
ट्रोजनाइज्ड एप्लिकेसन भित्र लुकाउने Geacon मालवेयर
दोस्रो Geacon मालवेयर पेलोड SecureLink.app र SecureLink_Client, सुरक्षित रिमोट समर्थनको लागि प्रयोग गरिएको वैध SecureLink अनुप्रयोगको परिमार्जित संस्करणहरू मार्फत तैनात गरिएको छ। यद्यपि, यो ट्रोजनाइज्ड संस्करणमा 'Geacon Pro' मालवेयरको प्रतिलिपि समावेश छ। यो विशेष पेलोडले विशेष गरी OS X 10.9 (Mavericks) वा पछिका संस्करणहरू चलिरहेको Intel-based Mac प्रणालीहरूलाई लक्षित गर्दछ।
अनुप्रयोग सुरु गरेपछि, यसले कम्प्युटरको क्यामेरा, माइक्रोफोन, सम्पर्कहरू, फोटोहरू, रिमाइन्डरहरू र प्रशासक विशेषाधिकारहरूमा पहुँच सहित विभिन्न अनुमतिहरू अनुरोध गर्दछ। यी अनुमतिहरू सामान्यतया Apple को पारदर्शिता, सहमति, र नियन्त्रण (TCC) गोपनीयता ढाँचाद्वारा सुरक्षित हुन्छन् र तिनीहरूलाई प्रदान गर्दा महत्त्वपूर्ण जोखिमहरू हुन्छन्।
यद्यपि, यी अनुमतिहरूसँग सम्बन्धित जोखिमको उच्च स्तरको बावजुद, तिनीहरू अनुप्रयोगको प्रकारको लागि असामान्य छैनन् जुन Geacon मालवेयरले मुखौटे गर्दैछ, प्रयोगकर्ताको शंकालाई कम गर्दै र अनुरोध गरिएका अनुमतिहरू प्रदान गर्न उनीहरूलाई छल्दै। उपलब्ध जानकारी अनुसार, यो Geacon मालवेयर संस्करणले जापानमा रहेको C2 सर्भरसँग आईपी ठेगाना 13.230.229.15 सँग सञ्चार गर्छ।
पछिल्ला वर्षहरूमा, म्याक उपकरणहरूलाई लक्षित गर्ने मालवेयर आक्रमणहरूमा उल्लेखनीय वृद्धि भएको छ। यो वृद्धि म्याक कम्प्युटरहरूको बढ्दो लोकप्रियता र तिनीहरू मालवेयरबाट प्रतिरोधी छन् भन्ने गलत धारणालाई श्रेय दिन सकिन्छ। साइबर अपराधीहरूले म्याक प्रयोगकर्ताहरूलाई लक्षित गर्ने सम्भावित मूल्यलाई पहिचान गरेका छन्, जसले विशेष रूपमा macOS प्रणालीहरूको लागि डिजाइन गरिएको थप परिष्कृत र लक्षित मालवेयरको विकास र तैनातीतर्फ अग्रसर भएको छ। स्वाभाविक रूपमा, यसले म्याक प्रयोगकर्ताहरूबाट सतर्कता बढाउनुपर्छ र उनीहरूको यन्त्रहरूलाई मालवेयर संक्रमणहरूबाट जोगाउन पर्याप्त सुरक्षा उपायहरूको कार्यान्वयन आवश्यक छ।
