Geacon Mac มัลแวร์

ตามที่นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุว่า Geacon Malware เป็นการนำ Cobalt Strike beacon มาใช้ ซึ่งสร้างขึ้นโดยใช้ภาษาโปรแกรม Go ภัยคุกคามได้กลายเป็นเครื่องมือคุกคามที่มีศักยภาพสำหรับการกำหนดเป้าหมายอุปกรณ์ macOS แม้ว่าเดิมที Geacon และ Cobalt Strike ได้รับการออกแบบให้เป็นยูทิลิตี้ที่ถูกต้องตามกฎหมายที่องค์กรต่างๆ ใช้ในการทดสอบความปลอดภัยเครือข่ายผ่านการโจมตีจำลอง

เป็นเวลาหลายปีที่ผู้คุกคามใช้ประโยชน์จาก Cobalt Strike เพื่อประนีประนอมระบบ Windows ซึ่งเป็นผู้นำอุตสาหกรรมความปลอดภัยทางไซเบอร์ในการต่อสู้กับภัยคุกคามอย่างต่อเนื่องนี้ อย่างไรก็ตาม การใช้งาน Geacon ที่เพิ่มขึ้นเมื่อเร็วๆ นี้เน้นย้ำถึงการขยายขอบเขตของการโจมตีที่กำหนดเป้าหมายไปยังอุปกรณ์ macOS สิ่งนี้บ่งชี้ถึงความจำเป็นในการเพิ่มความระมัดระวังและมาตรการเชิงรุกเพื่อตอบโต้กลยุทธ์ที่พัฒนาขึ้นซึ่งใช้โดยผู้คุกคามที่ใช้ประโยชน์จากเครื่องมือเหล่านี้ รายละเอียดเกี่ยวกับ Geacon Malware และความสามารถที่เป็นอันตรายได้รับการเปิดเผยในรายงานโดยนักวิจัยที่ติดตามกิจกรรมของภัยคุกคาม

มัลแวร์ Geacon สองสายพันธุ์ที่พบในธรรมชาติ

ไฟล์แรกที่เกี่ยวข้องกับ Geacon คือแอปเพล็ต AppleScript ชื่อ 'Xu Yiqing's Resume_20230320.app' จุดประสงค์คือเพื่อตรวจสอบว่ามันทำงานบนระบบ macOS จริง ๆ เมื่อสิ่งนี้ได้รับการยืนยัน ไฟล์จะดำเนินการเรียกข้อมูลเพย์โหลดที่ไม่ได้ลงชื่อซึ่งเรียกว่า 'Geacon Plus' จากเซิร์ฟเวอร์ Command-and-Control (C2) ของผู้โจมตี ซึ่งมีที่อยู่ IP จากประเทศจีน

ที่อยู่ C2 เฉพาะ (47.92.123.17) เคยเชื่อมโยงกับการโจมตี Cobalt Strike ที่กำหนดเป้าหมายเครื่อง Windows การเชื่อมโยงนี้แสดงให้เห็นความเชื่อมโยงที่เป็นไปได้หรือความคล้ายคลึงกันระหว่างโครงสร้างพื้นฐานของการโจมตีที่สังเกตได้กับกิจกรรมโคบอลต์สไตรค์ครั้งก่อนๆ

ก่อนที่จะเริ่ม 'กิจกรรมการส่งสัญญาณ' เพย์โหลดใช้กลวิธีหลอกลวงเพื่อทำให้เหยื่อเข้าใจผิดด้วยการแสดงไฟล์ PDF ล่อ เอกสารที่แสดงปลอมเป็นเรซูเม่ของบุคคลชื่อ Xy Yiqing โดยมีจุดประสงค์เพื่อเบี่ยงเบนความสนใจของเหยื่อจากการกระทำคุกคามที่มัลแวร์กำลังดำเนินการอยู่เบื้องหลัง

เพย์โหลดเฉพาะของ Geacon นี้มีความสามารถหลากหลาย รวมถึงรองรับการสื่อสารผ่านเครือข่าย ใช้งานฟังก์ชันเข้ารหัสและถอดรหัสข้อมูล เปิดใช้งานการดาวน์โหลดเพย์โหลดเพิ่มเติม และอำนวยความสะดวกในการกรองข้อมูลจากระบบที่ถูกบุกรุก

มัลแวร์ Geacon ซ่อนตัวอยู่ในแอปพลิเคชันที่ถูกโทรจัน

เพย์โหลด Geacon Malware ตัวที่สองถูกปรับใช้ผ่าน SecureLink.app และ SecureLink_Client ซึ่งเป็นเวอร์ชันดัดแปลงของแอปพลิเคชัน SecureLink ที่ถูกต้องซึ่งใช้สำหรับการสนับสนุนระยะไกลที่ปลอดภัย อย่างไรก็ตาม เวอร์ชันโทรจันนี้มีสำเนาของมัลแวร์ 'Geacon Pro' เพย์โหลดนี้เจาะจงไปที่ระบบ Mac ที่ใช้ Intel ที่ใช้ OS X 10.9 (Mavericks) หรือเวอร์ชันที่ใหม่กว่า

เมื่อเปิดแอปพลิเคชัน มันจะร้องขอการอนุญาตต่างๆ รวมถึงการเข้าถึงกล้องของคอมพิวเตอร์ ไมโครโฟน รายชื่อผู้ติดต่อ รูปภาพ การเตือนความจำ และแม้กระทั่งสิทธิ์ของผู้ดูแลระบบ สิทธิ์เหล่านี้มักได้รับการปกป้องโดยกรอบความเป็นส่วนตัวของ Apple ความโปร่งใส ความยินยอม และการควบคุม (TCC) และการอนุญาตเหล่านี้ก่อให้เกิดความเสี่ยงอย่างมาก

อย่างไรก็ตาม แม้จะมีความเสี่ยงสูงที่เกี่ยวข้องกับการอนุญาตเหล่านี้ แต่ก็ไม่ได้ถือว่าผิดปกติสำหรับประเภทของแอปพลิเคชันที่มัลแวร์ Geacon ปลอมตัวเป็น ซึ่งทำให้ผู้ใช้คลายความสงสัยและหลอกให้พวกเขาอนุญาตการอนุญาตที่ร้องขอ ตามข้อมูลที่มีอยู่ มัลแวร์ Geacon นี้สื่อสารกับเซิร์ฟเวอร์ C2 ที่อยู่ในประเทศญี่ปุ่น โดยมีที่อยู่ IP 13.230.229.15

ในช่วงหลายปีที่ผ่านมา มีการโจมตีของมัลแวร์ที่กำหนดเป้าหมายอุปกรณ์ Mac เพิ่มขึ้นอย่างเห็นได้ชัด การเพิ่มขึ้นนี้อาจเกิดจากความนิยมที่เพิ่มขึ้นของคอมพิวเตอร์ Mac และความเข้าใจผิดว่าคอมพิวเตอร์มีภูมิคุ้มกันต่อมัลแวร์ อาชญากรไซเบอร์ได้ตระหนักถึงคุณค่าที่เป็นไปได้ในการกำหนดเป้าหมายผู้ใช้ Mac ซึ่งนำไปสู่การพัฒนาและปรับใช้มัลแวร์ที่มีความซับซ้อนและกำหนดเป้าหมายซึ่งออกแบบมาสำหรับระบบ macOS โดยเฉพาะ ตามปกติแล้ว สิ่งนี้จำเป็นต้องเพิ่มความระมัดระวังจากผู้ใช้ Mac และการใช้มาตรการรักษาความปลอดภัยที่เพียงพอเพื่อปกป้องอุปกรณ์ของพวกเขาจากการติดมัลแวร์