Geacon Mac-malware

Volgens cybersecurity-onderzoekers is de Geacon Malware een implementatie van het Cobalt Strike-baken, gebouwd met behulp van de Go-programmeertaal. De dreiging is naar voren gekomen als een krachtig bedreigend hulpmiddel om zich op macOS-apparaten te richten. Hoewel Geacon en Cobalt Strike oorspronkelijk waren ontworpen als legitieme hulpprogramma's die door organisaties worden gebruikt om hun netwerkbeveiliging te testen door middel van gesimuleerde aanvallen, hebben boosaardige actoren ze steeds vaker uitgebuit voor verschillende snode activiteiten.

Jarenlang hebben bedreigingsactoren misbruik gemaakt van Cobalt Strike om Windows-systemen te compromitteren, waardoor de cyberbeveiligingsindustrie deze hardnekkige dreiging voortdurend moet bestrijden. De recente stijging van het gebruik van Geacon benadrukt echter de groeiende reikwijdte van aanvallen gericht op macOS-apparaten. Dit betekent dat er meer waakzaamheid en proactieve maatregelen nodig zijn om de evoluerende tactieken van bedreigingsactoren die deze tools gebruiken, tegen te gaan. Details over de Geacon-malware en zijn schadelijke mogelijkheden zijn vrijgegeven in een rapport van de onderzoekers die de activiteit van de dreiging hebben gevolgd.

Twee varianten van de Geacon-malware waargenomen in het wild

Het eerste bestand dat aan Geacon is gekoppeld, is een AppleScript-applet met de naam 'Xu Yiqing's Resume_20230320.app.' Het doel is om te verifiëren dat het inderdaad op een macOS-systeem draait. Zodra dit is bevestigd, gaat het bestand verder met het ophalen van een niet-ondertekende payload die bekend staat als 'Geacon Plus' van de Command-and-Control (C2)-server van de aanvallers, die een IP-adres heeft dat afkomstig is uit China.

Het specifieke C2-adres (47.92.123.17) is eerder gekoppeld aan Cobalt Strike-aanvallen gericht op Windows-machines. Deze associatie suggereert een mogelijk verband of gelijkenis tussen de infrastructuur van de waargenomen aanval en eerdere gevallen van Cobalt Strike-activiteit.

Voordat de payload zijn 'bakenactiviteit' start, gebruikt hij een misleidende tactiek om slachtoffers te misleiden door een nep-pdf-bestand weer te geven. Het weergegeven document doet zich voor als een cv van een persoon genaamd Xy Yiqing, met als doel de aandacht van het slachtoffer af te leiden van de bedreigende acties die de malware op de achtergrond uitvoert.

Deze specifieke Geacon-payload beschikt over een scala aan mogelijkheden, waaronder het ondersteunen van netwerkcommunicatie, het uitvoeren van gegevenscoderings- en decoderingsfuncties, het downloaden van extra payloads en het vergemakkelijken van de exfiltratie van gegevens van het gecompromitteerde systeem.

De Geacon-malware verstopt zich in een getrojaniseerde applicatie

De tweede Geacon Malware-payload wordt ingezet via SecureLink.app en SecureLink_Client, gewijzigde versies van de legitieme SecureLink-applicatie die wordt gebruikt voor veilige ondersteuning op afstand. Deze getrojaniseerde versie bevat echter een kopie van de 'Geacon Pro'-malware. Deze specifieke payload is specifiek gericht op Intel-gebaseerde Mac-systemen met OS X 10.9 (Mavericks) of latere versies.

Bij het starten van de applicatie vraagt het om verschillende machtigingen, waaronder toegang tot de camera, microfoon, contacten, foto's, herinneringen en zelfs beheerdersrechten van de computer. Deze machtigingen worden meestal beschermd door Apple's Transparency, Consent, and Control (TCC)-privacyraamwerk en het verlenen ervan brengt aanzienlijke risico's met zich mee.

Ondanks het hoge risiconiveau dat aan deze machtigingen is verbonden, zijn ze echter niet zo ongebruikelijk voor het type toepassing waarvoor de Geacon-malware zich voordoet, waardoor de vermoedens van de gebruiker worden weggenomen en ze worden misleid om de gevraagde machtigingen te verlenen. Volgens de beschikbare informatie communiceert deze Geacon Malware-variant met een C2-server in Japan, met het IP-adres 13.230.229.15.

In de afgelopen jaren is er een merkbare toename geweest van malware-aanvallen gericht op Mac-apparaten. Deze stijging kan worden toegeschreven aan de groeiende populariteit van Mac-computers en de misvatting dat ze immuun zijn voor malware. Cybercriminelen hebben de potentiële waarde ingezien van het aanvallen van Mac-gebruikers, wat heeft geleid tot de ontwikkeling en implementatie van meer geavanceerde en gerichte malware die speciaal is ontworpen voor macOS-systemen. Dit vereist natuurlijk meer waakzaamheid van Mac-gebruikers en de implementatie van voldoende beveiligingsmaatregelen om hun apparaten te beschermen tegen malware-infecties.