Złośliwe oprogramowanie Geacon Mac

Według badaczy cyberbezpieczeństwa, Geacon Malware jest implementacją beacona Cobalt Strike, zbudowaną przy użyciu języka programowania Go. Zagrożenie okazało się potężnym narzędziem do atakowania urządzeń z systemem macOS. Podczas gdy Geacon i Cobalt Strike zostały pierwotnie zaprojektowane jako legalne narzędzia używane przez organizacje do testowania bezpieczeństwa ich sieci poprzez symulowane ataki, złoczyńcy coraz częściej wykorzystują je do różnych nikczemnych działań.

Od lat cyberprzestępcy wykorzystują Cobalt Strike do atakowania systemów Windows, prowadząc branżę cyberbezpieczeństwa do nieustannej walki z tym uporczywym zagrożeniem. Jednak niedawny wzrost wykorzystania Geacon podkreśla rosnący zakres ataków wymierzonych w urządzenia z systemem macOS. Oznacza to potrzebę wzmożonej czujności i proaktywnych środków w celu przeciwdziałania zmieniającym się taktykom stosowanym przez cyberprzestępców wykorzystujących te narzędzia. Szczegóły dotyczące złośliwego oprogramowania Geacon i jego szkodliwych możliwości zostały ujawnione w raporcie badaczy monitorujących aktywność tego zagrożenia.

Dwa warianty złośliwego oprogramowania Geacon zaobserwowane na wolności

Pierwszym plikiem powiązanym z Geaconem jest aplet AppleScript o nazwie „Xu Yiqing's Resume_20230320.app”. Jego celem jest sprawdzenie, czy rzeczywiście działa w systemie macOS. Po potwierdzeniu plik przechodzi do pobierania niepodpisanego ładunku znanego jako „Geacon Plus” z serwera Command-and-Control (C2) atakującego, który ma adres IP pochodzący z Chin.

Konkretny adres C2 (47.92.123.17) był wcześniej powiązany z atakami Cobalt Strike wymierzonymi w komputery z systemem Windows. To skojarzenie sugeruje potencjalny związek lub podobieństwo między infrastrukturą obserwowanego ataku a poprzednimi przypadkami aktywności Cobalt Strike.

Przed zainicjowaniem „działania nawigacyjnego” ładunek stosuje oszukańczą taktykę, aby wprowadzić ofiary w błąd, wyświetlając wabikowy plik PDF. Wyświetlany dokument udaje CV należące do osoby o nazwisku Xy Yiqing i ma na celu odwrócenie uwagi ofiary od groźnych działań, które złośliwe oprogramowanie wykonuje w tle.

Ten konkretny ładunek Geacon posiada szereg możliwości, w tym wspieranie komunikacji sieciowej, wykonywanie funkcji szyfrowania i deszyfrowania danych, umożliwianie pobierania dodatkowych ładunków oraz ułatwianie eksfiltracji danych z zaatakowanego systemu.

Złośliwe oprogramowanie Geacon ukrywające się w aplikacji poddanej trojanizacji

Drugi ładunek Geacon Malware jest wdrażany za pośrednictwem SecureLink.app i SecureLink_Client, zmodyfikowanych wersji legalnej aplikacji SecureLink używanej do bezpiecznego zdalnego wsparcia. Jednak ta zainfekowana trojanami wersja zawiera kopię złośliwego oprogramowania „Geacon Pro”. Ten konkretny ładunek jest przeznaczony specjalnie dla systemów Mac z procesorami Intel i systemem OS X 10.9 (Mavericks) lub nowszymi wersjami.

Po uruchomieniu aplikacja żąda różnych uprawnień, w tym dostępu do kamery komputera, mikrofonu, kontaktów, zdjęć, przypomnień, a nawet uprawnień administratora. Uprawnienia te są zwykle chronione przez ramy prywatności Apple dotyczące przejrzystości, zgody i kontroli (TCC), a ich przyznanie wiąże się ze znacznym ryzykiem.

Jednak pomimo wysokiego poziomu ryzyka związanego z tymi uprawnieniami, nie są one niczym niezwykłym w przypadku aplikacji, za którą udaje się złośliwe oprogramowanie Geacon, łagodząc podejrzenia użytkownika i nakłaniając go do przyznania żądanych uprawnień. Według dostępnych informacji ten wariant Geacon Malware komunikuje się z serwerem C2 zlokalizowanym w Japonii, o adresie IP 13.230.229.15.

W ostatnich latach nastąpił zauważalny wzrost ataków szkodliwego oprogramowania na urządzenia Mac. Wzrost ten można przypisać rosnącej popularności komputerów Mac i błędnemu przekonaniu, że są one odporne na złośliwe oprogramowanie. Cyberprzestępcy dostrzegli potencjalną wartość kierowania ataków na użytkowników komputerów Mac, co doprowadziło do opracowania i wdrożenia bardziej wyrafinowanego i ukierunkowanego złośliwego oprogramowania zaprojektowanego specjalnie dla systemów macOS. Oczywiście wymaga to zwiększonej czujności ze strony użytkowników komputerów Mac i wdrożenia wystarczających środków bezpieczeństwa w celu ochrony ich urządzeń przed infekcjami złośliwym oprogramowaniem.