Geacon Mac zlonamerna programska oprema
Po mnenju raziskovalcev kibernetske varnosti je zlonamerna programska oprema Geacon implementacija svetilnika Cobalt Strike, zgrajena z uporabo programskega jezika Go. Grožnja se je izkazala kot močno grozilno orodje za ciljanje na naprave macOS. Medtem ko sta bila Geacon in Cobalt Strike prvotno zasnovana kot zakoniti pripomočki, ki jih organizacije uporabljajo za preizkušanje varnosti svojega omrežja s simuliranimi napadi, ju zlobni akterji vedno bolj izkoriščajo za različne nečedne dejavnosti.
Akterji groženj že leta izkoriščajo Cobalt Strike za ogrožanje sistemov Windows, zaradi česar se industrija kibernetske varnosti nenehno bori proti tej vztrajni grožnji. Vendar pa nedavno povečanje uporabe Geacona poudarja vse večji obseg napadov, ki ciljajo na naprave macOS. To pomeni potrebo po večji pazljivosti in proaktivnih ukrepih za boj proti razvijajočim se taktikam, ki jih uporabljajo akterji groženj, ki uporabljajo ta orodja. Podrobnosti o zlonamerni programski opremi Geacon in njenih škodljivih zmožnostih so v poročilu objavili raziskovalci, ki so spremljali dejavnost grožnje.
Dve različici zlonamerne programske opreme Geacon opaženi v naravi
Prva datoteka, povezana z Geaconom, je programček AppleScript z imenom 'Xu Yiqing's Resume_20230320.app.' Njegov namen je preveriti, ali se resnično izvaja v sistemu macOS. Ko je to potrjeno, datoteka nadaljuje s pridobivanjem nepodpisanega koristnega tovora, znanega kot "Geacon Plus", s strežnika Command-and-Control (C2) napadalcev, ki ima naslov IP iz Kitajske.
Specifični naslov C2 (47.92.123.17) je bil prej povezan z napadi Cobalt Strike, ki ciljajo na stroje Windows. Ta povezava kaže na morebitno povezavo ali podobnost med infrastrukturo opazovanega napada in prejšnjimi primeri dejavnosti Cobalt Strike.
Preden začne svojo 'dejavnost svetilnika', koristni tovor uporablja goljufivo taktiko za zavajanje žrtev s prikazom datoteke PDF za vabo. Prikazani dokument se maskira kot življenjepis posameznika z imenom Xy Yiqing, katerega namen je preusmeriti pozornost žrtve od grozečih dejanj, ki jih zlonamerna programska oprema izvaja v ozadju.
Ta specifična obremenitev Geacon ima vrsto zmogljivosti, vključno s podporo omrežnim komunikacijam, izvajanjem funkcij šifriranja in dešifriranja podatkov, omogočanjem prenosa dodatnih obremenitev in olajšanjem izločanja podatkov iz ogroženega sistema.
Zlonamerna programska oprema Geacon se skriva v trojanizirani aplikaciji
Druga koristna vsebina zlonamerne programske opreme Geacon je nameščena prek SecureLink.app in SecureLink_Client, spremenjenih različic zakonite aplikacije SecureLink, ki se uporablja za varno oddaljeno podporo. Vendar pa ta trojanizirana različica vključuje kopijo zlonamerne programske opreme 'Geacon Pro'. Ta posebna koristna obremenitev je posebej namenjena sistemom Mac, ki temeljijo na Intelu in poganjajo OS X 10.9 (Mavericks) ali novejše različice.
Ob zagonu aplikacije zahteva različna dovoljenja, vključno z dostopom do računalniške kamere, mikrofona, stikov, fotografij, opomnikov in celo skrbniških pravic. Ta dovoljenja so običajno zaščitena z Applovim ogrodjem zasebnosti za preglednost, soglasje in nadzor (TCC), njihova odobritev pa predstavlja veliko tveganje.
Vendar pa kljub visoki stopnji tveganja, povezanega s temi dovoljenji, niso tako nenavadna za vrsto aplikacije, v katero se pretvarja zlonamerna programska oprema Geacon, kar olajša sume uporabnika in ga zavede, da podeli zahtevana dovoljenja. Po razpoložljivih informacijah ta različica zlonamerne programske opreme Geacon komunicira s strežnikom C2 na Japonskem z naslovom IP 13.230.229.15.
V zadnjih letih je prišlo do opaznega porasta napadov zlonamerne programske opreme, ki ciljajo na naprave Mac. Ta porast lahko pripišemo vse večji priljubljenosti računalnikov Mac in napačnemu prepričanju, da so imuni na zlonamerno programsko opremo. Kibernetski kriminalci so prepoznali potencialno vrednost ciljanja na uporabnike Mac, kar je vodilo v razvoj in uporabo bolj sofisticirane in ciljno usmerjene zlonamerne programske opreme, posebej zasnovane za sisteme macOS. Seveda to od uporabnikov računalnikov Mac zahteva večjo pazljivost in izvajanje zadostnih varnostnih ukrepov za zaščito njihovih naprav pred okužbami z zlonamerno programsko opremo.
