Вредоносное ПО Geacon Mac

По словам исследователей кибербезопасности, вредоносное ПО Geacon представляет собой реализацию маяка Cobalt Strike, созданную с использованием языка программирования Go. Эта угроза превратилась в мощный инструмент для нападения на устройства macOS. В то время как Geacon и Cobalt Strike изначально разрабатывались как законные утилиты, используемые организациями для проверки своей сетевой безопасности посредством симулированных атак, злонамеренные субъекты все чаще используют их для различных гнусных действий.

В течение многих лет злоумышленники использовали Cobalt Strike для компрометации систем Windows, что привело к тому, что индустрия кибербезопасности постоянно боролась с этой постоянной угрозой. Однако недавний рост использования Geacon подчеркивает расширение масштабов атак, нацеленных на устройства macOS. Это означает необходимость повышения бдительности и принятия упреждающих мер для противодействия развивающейся тактике, используемой злоумышленниками, использующими эти инструменты. Подробности о вредоносном ПО Geacon и его вредоносных возможностях были опубликованы в отчете исследователей, отслеживающих активность угрозы.

Два варианта вредоносного ПО Geacon, наблюдаемые в дикой природе

Первый файл, связанный с Geacon, — это апплет AppleScript с именем «Xu Yiqing's Resume_20230320.app». Его цель — убедиться, что он действительно работает в системе macOS. Как только это будет подтверждено, файл приступает к извлечению неподписанной полезной нагрузки, известной как «Geacon Plus», с сервера Command-and-Control (C2) злоумышленников, IP-адрес которого исходит из Китая.

Конкретный адрес C2 (47.92.123.17) ранее был связан с атаками Cobalt Strike, нацеленными на компьютеры Windows. Эта ассоциация предполагает потенциальную связь или сходство между инфраструктурой наблюдаемой атаки и предыдущими случаями активности Cobalt Strike.

Прежде чем начать свою «активность маяка», полезная нагрузка использует обманную тактику, чтобы ввести жертв в заблуждение, отображая файл-приманку в формате PDF. Отображаемый документ маскируется под резюме, принадлежащее человеку по имени Xy Yiqing, с целью отвлечь внимание жертвы от угрожающих действий, которые вредоносные программы выполняют в фоновом режиме.

Эта конкретная полезная нагрузка Geacon обладает рядом возможностей, включая поддержку сетевых коммуникаций, выполнение функций шифрования и расшифровки данных, возможность загрузки дополнительных полезных нагрузок и облегчение кражи данных из скомпрометированной системы.

Вредоносное ПО Geacon, скрывающееся внутри троянского приложения

Вторая полезная нагрузка Geacon Malware развертывается через SecureLink.app и SecureLink_Client, модифицированные версии законного приложения SecureLink, используемого для безопасной удаленной поддержки. Однако эта троянизированная версия включает в себя копию вредоносного ПО Geacon Pro. Эта конкретная полезная нагрузка специально предназначена для систем Mac на базе Intel, работающих под управлением OS X 10.9 (Mavericks) или более поздних версий.

При запуске приложение запрашивает различные разрешения, включая доступ к камере компьютера, микрофону, контактам, фотографиям, напоминаниям и даже права администратора. Эти разрешения обычно защищены структурой конфиденциальности Apple Transparency, Consent and Control (TCC), и их предоставление сопряжено со значительными рисками.

Однако, несмотря на высокий уровень риска, связанный с этими разрешениями, они не так уж необычны для того типа приложений, под которые маскируется вредоносное ПО Geacon, ослабляя подозрения пользователя и обманывая его, заставляя предоставить запрошенные разрешения. По имеющейся информации, этот вариант вредоносного ПО Geacon связывается с C2-сервером, расположенным в Японии, с IP-адресом 13.230.229.15.

В последние годы заметно увеличилось количество атак вредоносных программ, нацеленных на устройства Mac. Этот рост можно объяснить растущей популярностью компьютеров Mac и ошибочным представлением о том, что они невосприимчивы к вредоносным программам. Киберпреступники осознали потенциальную ценность атак на пользователей Mac, что привело к разработке и развертыванию более сложных и целенаправленных вредоносных программ, специально предназначенных для систем macOS. Естественно, это требует от пользователей Mac повышенной бдительности и принятия достаточных мер безопасности для защиты их устройств от заражения вредоносным ПО.