Geacon ਮੈਕ ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ, ਜੀਕਨ ਮਾਲਵੇਅਰ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਦਾ ਇੱਕ ਲਾਗੂਕਰਨ ਹੈ, ਜੋ ਗੋ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬਣਾਇਆ ਗਿਆ ਹੈ। ਧਮਕੀ ਮੈਕੋਸ ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸਾਧਨ ਵਜੋਂ ਉਭਰਿਆ ਹੈ। ਜਦੋਂ ਕਿ Geacon ਅਤੇ Cobalt Strike ਨੂੰ ਅਸਲ ਵਿੱਚ ਸੰਗਠਨਾਂ ਦੁਆਰਾ ਨਕਲੀ ਹਮਲਿਆਂ ਦੁਆਰਾ ਉਹਨਾਂ ਦੇ ਨੈਟਵਰਕ ਸੁਰੱਖਿਆ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਜਾਇਜ਼ ਉਪਯੋਗਤਾਵਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਡਿਜ਼ਾਇਨ ਕੀਤਾ ਗਿਆ ਸੀ, ਦੁਸ਼ਟ ਸੋਚ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਵੱਖ-ਵੱਖ ਨਾਪਾਕ ਗਤੀਵਿਧੀਆਂ ਲਈ ਉਹਨਾਂ ਦਾ ਵੱਧ ਤੋਂ ਵੱਧ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਹੈ।

ਸਾਲਾਂ ਤੋਂ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਦਾ ਫਾਇਦਾ ਉਠਾਇਆ ਹੈ, ਜਿਸ ਨਾਲ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਉਦਯੋਗ ਲਗਾਤਾਰ ਇਸ ਲਗਾਤਾਰ ਖਤਰੇ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ ਅਗਵਾਈ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਜੀਕਨ ਦੀ ਵਰਤੋਂ ਵਿੱਚ ਹਾਲ ਹੀ ਵਿੱਚ ਵਾਧਾ ਮੈਕੋਸ ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਹਮਲਿਆਂ ਦੇ ਵਿਸਤ੍ਰਿਤ ਦਾਇਰੇ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ। ਇਹ ਇਹਨਾਂ ਸਾਧਨਾਂ ਦਾ ਲਾਭ ਉਠਾਉਣ ਵਾਲੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਉੱਭਰਦੀਆਂ ਚਾਲਾਂ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ ਵਿਸਤ੍ਰਿਤ ਚੌਕਸੀ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਵਾਂ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਗੀਕਨ ਮਾਲਵੇਅਰ ਅਤੇ ਇਸ ਦੀਆਂ ਹਾਨੀਕਾਰਕ ਸਮਰੱਥਾਵਾਂ ਬਾਰੇ ਵੇਰਵੇ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ ਜੋ ਧਮਕੀ ਦੀ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਰਹੇ ਹਨ।

ਗੀਕਨ ਮਾਲਵੇਅਰ ਦੇ ਦੋ ਰੂਪਾਂ ਨੂੰ ਜੰਗਲ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ

Geacon ਨਾਲ ਜੁੜੀ ਪਹਿਲੀ ਫਾਈਲ 'Xu Yiqing's Resume_20230320.app' ਨਾਮ ਦਾ ਇੱਕ ਐਪਲ ਸਕ੍ਰਿਪਟ ਐਪਲਿਟ ਹੈ। ਇਸਦਾ ਉਦੇਸ਼ ਇਹ ਤਸਦੀਕ ਕਰਨਾ ਹੈ ਕਿ ਇਹ ਅਸਲ ਵਿੱਚ ਇੱਕ macOS ਸਿਸਟਮ ਤੇ ਚੱਲ ਰਿਹਾ ਹੈ। ਇੱਕ ਵਾਰ ਇਸਦੀ ਪੁਸ਼ਟੀ ਹੋ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਫਾਈਲ ਹਮਲਾਵਰਾਂ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ 'ਜੀਕਨ ਪਲੱਸ' ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਹਸਤਾਖਰਿਤ ਪੇਲੋਡ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦੀ ਹੈ, ਜਿਸਦਾ ਇੱਕ IP ਪਤਾ ਚੀਨ ਤੋਂ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ।

ਖਾਸ C2 ਐਡਰੈੱਸ (47.92.123.17) ਨੂੰ ਪਹਿਲਾਂ ਵਿੰਡੋਜ਼ ਮਸ਼ੀਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਹਮਲਿਆਂ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਹ ਐਸੋਸੀਏਸ਼ਨ ਦੇਖੇ ਗਏ ਹਮਲੇ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਗਤੀਵਿਧੀ ਦੀਆਂ ਪਿਛਲੀਆਂ ਉਦਾਹਰਣਾਂ ਵਿਚਕਾਰ ਇੱਕ ਸੰਭਾਵੀ ਸਬੰਧ ਜਾਂ ਸਮਾਨਤਾ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ।

ਆਪਣੀ 'ਬੀਕਨਿੰਗ ਗਤੀਵਿਧੀ' ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਪੇਲੋਡ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਪੀਡੀਐਫ ਫਾਈਲ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਕੇ ਪੀੜਤਾਂ ਨੂੰ ਗੁੰਮਰਾਹ ਕਰਨ ਲਈ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਚਾਲ ਵਰਤਦਾ ਹੈ। ਪ੍ਰਦਰਸ਼ਿਤ ਦਸਤਾਵੇਜ਼ Xy Yiqing ਨਾਮ ਦੇ ਇੱਕ ਵਿਅਕਤੀ ਨਾਲ ਸਬੰਧਤ ਇੱਕ ਰੈਜ਼ਿਊਮੇ ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਸਕਰੇਡ ਕਰਦਾ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਪੀੜਤ ਦਾ ਧਿਆਨ ਉਹਨਾਂ ਧਮਕੀ ਭਰੀਆਂ ਕਾਰਵਾਈਆਂ ਤੋਂ ਹਟਾਉਣਾ ਹੈ ਜੋ ਮਾਲਵੇਅਰ ਪਿਛੋਕੜ ਵਿੱਚ ਕਰ ਰਿਹਾ ਹੈ।

ਇਸ ਖਾਸ Geacon ਪੇਲੋਡ ਵਿੱਚ ਸਮਰੱਥਾਵਾਂ ਦੀ ਇੱਕ ਸੀਮਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਨੈੱਟਵਰਕ ਸੰਚਾਰ ਦਾ ਸਮਰਥਨ ਕਰਨਾ, ਡੇਟਾ ਏਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਡੀਕ੍ਰਿਪਸ਼ਨ ਫੰਕਸ਼ਨ ਕਰਨਾ, ਅਤਿਰਿਕਤ ਪੇਲੋਡਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਤੋਂ ਡੇਟਾ ਦੇ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਦੀ ਸਹੂਲਤ ਸ਼ਾਮਲ ਹੈ।

Geacon ਮਾਲਵੇਅਰ ਟਰੋਜਨਾਈਜ਼ਡ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਅੰਦਰ ਲੁਕਿਆ ਹੋਇਆ ਹੈ

ਦੂਜਾ Geacon ਮਾਲਵੇਅਰ ਪੇਲੋਡ SecureLink.app ਅਤੇ SecureLink_Client ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਸੁਰੱਖਿਅਤ ਰਿਮੋਟ ਸਹਾਇਤਾ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਜਾਇਜ਼ SecureLink ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਸੋਧੇ ਹੋਏ ਸੰਸਕਰਣ। ਹਾਲਾਂਕਿ, ਇਸ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਸੰਸਕਰਣ ਵਿੱਚ 'ਜੀਕਨ ਪ੍ਰੋ' ਮਾਲਵੇਅਰ ਦੀ ਇੱਕ ਕਾਪੀ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਖਾਸ ਪੇਲੋਡ ਖਾਸ ਤੌਰ 'ਤੇ OS X 10.9 (Mavericks) ਜਾਂ ਬਾਅਦ ਦੇ ਸੰਸਕਰਣਾਂ 'ਤੇ ਚੱਲ ਰਹੇ Intel- ਅਧਾਰਿਤ ਮੈਕ ਸਿਸਟਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ।

ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਲਾਂਚ ਕਰਨ 'ਤੇ, ਇਹ ਕੰਪਿਊਟਰ ਦੇ ਕੈਮਰੇ, ਮਾਈਕ੍ਰੋਫੋਨ, ਸੰਪਰਕਾਂ, ਫੋਟੋਆਂ, ਰੀਮਾਈਂਡਰਾਂ ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਪ੍ਰਸ਼ਾਸਕ ਦੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਤੱਕ ਪਹੁੰਚ ਸਮੇਤ ਕਈ ਅਨੁਮਤੀਆਂ ਦੀ ਬੇਨਤੀ ਕਰਦਾ ਹੈ। ਇਹ ਅਨੁਮਤੀਆਂ ਆਮ ਤੌਰ 'ਤੇ Apple ਦੇ ਪਾਰਦਰਸ਼ਤਾ, ਸਹਿਮਤੀ, ਅਤੇ ਨਿਯੰਤਰਣ (TCC) ਗੋਪਨੀਯਤਾ ਫਰੇਮਵਰਕ ਦੁਆਰਾ ਸੁਰੱਖਿਅਤ ਹੁੰਦੀਆਂ ਹਨ ਅਤੇ ਇਹਨਾਂ ਨੂੰ ਦੇਣ ਨਾਲ ਮਹੱਤਵਪੂਰਨ ਜੋਖਮ ਹੁੰਦੇ ਹਨ।

ਹਾਲਾਂਕਿ, ਇਹਨਾਂ ਅਨੁਮਤੀਆਂ ਨਾਲ ਜੁੜੇ ਉੱਚ ਪੱਧਰੀ ਜੋਖਮ ਦੇ ਬਾਵਜੂਦ, ਉਹ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਕਿਸਮ ਲਈ ਇੰਨੇ ਅਸਾਧਾਰਨ ਨਹੀਂ ਹਨ ਕਿ Geacon ਮਾਲਵੇਅਰ, ਉਪਭੋਗਤਾ ਦੇ ਸ਼ੱਕ ਨੂੰ ਘੱਟ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਬੇਨਤੀ ਕੀਤੀਆਂ ਅਨੁਮਤੀਆਂ ਦੇਣ ਲਈ ਧੋਖਾ ਦੇ ਰਿਹਾ ਹੈ। ਉਪਲਬਧ ਜਾਣਕਾਰੀ ਦੇ ਅਨੁਸਾਰ, ਇਹ Geacon ਮਾਲਵੇਅਰ ਵੇਰੀਐਂਟ ਜਾਪਾਨ ਵਿੱਚ ਸਥਿਤ ਇੱਕ C2 ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ, ਜਿਸ ਦਾ IP ਐਡਰੈੱਸ 13.230.229.15 ਹੈ।

ਪਿਛਲੇ ਸਾਲਾਂ ਵਿੱਚ, ਮੈਕ ਡਿਵਾਈਸਿਸ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਮਾਲਵੇਅਰ ਹਮਲਿਆਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਾਧਾ ਹੋਇਆ ਹੈ। ਇਸ ਵਾਧੇ ਦਾ ਕਾਰਨ ਮੈਕ ਕੰਪਿਊਟਰਾਂ ਦੀ ਵਧਦੀ ਪ੍ਰਸਿੱਧੀ ਅਤੇ ਇਸ ਗਲਤ ਧਾਰਨਾ ਨੂੰ ਮੰਨਿਆ ਜਾ ਸਕਦਾ ਹੈ ਕਿ ਉਹ ਮਾਲਵੇਅਰ ਤੋਂ ਸੁਰੱਖਿਅਤ ਹਨ। ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਮੈਕ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ ਸੰਭਾਵੀ ਮੁੱਲ ਨੂੰ ਪਛਾਣ ਲਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਮੈਕੋਸ ਸਿਸਟਮਾਂ ਲਈ ਖਾਸ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੇ ਗਏ ਵਧੇਰੇ ਵਧੀਆ ਅਤੇ ਨਿਸ਼ਾਨਾ ਮਾਲਵੇਅਰ ਦੇ ਵਿਕਾਸ ਅਤੇ ਤੈਨਾਤੀ ਦੀ ਅਗਵਾਈ ਕੀਤੀ ਗਈ ਹੈ। ਕੁਦਰਤੀ ਤੌਰ 'ਤੇ, ਇਸ ਨਾਲ ਮੈਕ ਉਪਭੋਗਤਾਵਾਂ ਤੋਂ ਚੌਕਸੀ ਵਧਾਉਣ ਅਤੇ ਉਨ੍ਹਾਂ ਦੀਆਂ ਡਿਵਾਈਸਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਇਨਫੈਕਸ਼ਨਾਂ ਤੋਂ ਬਚਾਉਣ ਲਈ ਲੋੜੀਂਦੇ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।