Malvér Geacon Mac

Podľa výskumníkov v oblasti kybernetickej bezpečnosti je malware Geacon implementáciou majáku Cobalt Strike, vytvoreného pomocou programovacieho jazyka Go. Hrozba sa objavila ako silný ohrozujúci nástroj na zacielenie na zariadenia macOS. Zatiaľ čo Geacon a Cobalt Strike boli pôvodne navrhnuté ako legitímne nástroje používané organizáciami na testovanie ich sieťovej bezpečnosti prostredníctvom simulovaných útokov, zlomyseľní aktéri ich čoraz viac zneužívali na rôzne hanebné aktivity.

Po celé roky aktéri hrozieb využívali Cobalt Strike na kompromitovanie systémov Windows, čo vedie odvetvie kybernetickej bezpečnosti k neustálemu boju proti tejto pretrvávajúcej hrozbe. Nedávny nárast používania Geacon však poukazuje na rozširujúci sa rozsah útokov zameraných na zariadenia macOS. To znamená potrebu zvýšenej ostražitosti a proaktívnych opatrení na boj proti vyvíjajúcej sa taktike, ktorú používajú aktéri hrozieb využívajúci tieto nástroje. Podrobnosti o malware Geacon a jeho škodlivých schopnostiach boli zverejnené v správe výskumníkov, ktorí monitorovali aktivitu hrozby.

Dva varianty malvéru Geacon pozorovaného vo voľnej prírode

Prvý súbor spojený s Geaconom je applet AppleScript s názvom 'Xu Yiqing's Resume_20230320.app.' Jeho účelom je overiť, či skutočne beží na systéme macOS. Keď sa to potvrdí, súbor pokračuje v získavaní nepodpísaného užitočného zaťaženia známeho ako „Geacon Plus“ zo servera Command-and-Control (C2) útočníkov, ktorý má IP adresu pochádzajúcu z Číny.

Špecifická adresa C2 (47.92.123.17) bola v minulosti spojená s útokmi Cobalt Strike zameranými na počítače so systémom Windows. Toto spojenie naznačuje potenciálne spojenie alebo podobnosť medzi infraštruktúrou pozorovaného útoku a predchádzajúcimi prípadmi aktivity Cobalt Strike.

Pred spustením svojej „signalizačnej aktivity“ používa užitočné zaťaženie klamlivú taktiku na zavádzanie obetí zobrazením súboru PDF s návnadou. Zobrazený dokument sa maskuje ako životopis patriaci jednotlivcovi menom Xy Yiqing, ktorého cieľom je odvrátiť pozornosť obete od hrozivých akcií, ktoré malvér vykonáva na pozadí.

Táto špecifická užitočná časť Geacon má celý rad schopností, vrátane podpory sieťovej komunikácie, vykonávania funkcií šifrovania a dešifrovania údajov, umožňovania sťahovania ďalších užitočných zaťažení a uľahčenia exfiltrácie údajov z napadnutého systému.

Malvér Geacon skrývajúci sa vo vnútri trojanizovanej aplikácie

Druhá užitočná časť Geacon Malware je nasadená prostredníctvom SecureLink.app a SecureLink_Client, upravených verzií legitímnej aplikácie SecureLink používanej na bezpečnú vzdialenú podporu. Táto trojanizovaná verzia však obsahuje kópiu malvéru 'Geacon Pro'. Toto konkrétne užitočné zaťaženie sa konkrétne zameriava na systémy Mac s procesorom Intel so systémom OS X 10.9 (Mavericks) alebo novšími verziami.

Aplikácia si po spustení vyžaduje rôzne povolenia vrátane prístupu ku kamere počítača, mikrofónu, kontaktom, fotografiám, pripomienkam a dokonca aj oprávneniam správcu. Tieto povolenia sú zvyčajne chránené rámcom ochrany osobných údajov spoločnosti Apple Transparency, Consent and Control (TCC) a ich udelenie predstavuje značné riziká.

Napriek vysokej úrovni rizika spojeného s týmito povoleniami však nie sú až také nezvyčajné pre typ aplikácie, za ktorú sa Geacon Malware vydáva, čím uľahčí používateľovi podozrenie a oklame ho, aby udelil požadované povolenia. Podľa dostupných informácií tento variant Geacon Malware komunikuje so serverom C2 umiestneným v Japonsku s IP adresou 13.230.229.15.

V posledných rokoch došlo k výraznému nárastu malvérových útokov zameraných na zariadenia Mac. Tento nárast možno pripísať rastúcej popularite počítačov Mac a mylnej predstave, že sú imúnne voči malvéru. Kyberzločinci rozpoznali potenciálnu hodnotu pri zacielení na používateľov počítačov Mac, čo vedie k vývoju a nasadeniu sofistikovanejšieho a cielenejšieho malvéru špeciálne navrhnutého pre systémy macOS. To si prirodzene vyžaduje zvýšenú ostražitosť od používateľov počítačov Mac a implementáciu dostatočných bezpečnostných opatrení na ochranu ich zariadení pred infekciami škodlivým softvérom.