Geacon Mac Malware

Ayon sa mga mananaliksik sa cybersecurity, ang Geacon Malware ay isang pagpapatupad ng Cobalt Strike beacon, na binuo gamit ang Go programming language. Ang banta ay lumitaw bilang isang malakas na tool sa pagbabanta para sa pag-target ng mga macOS device. Habang ang Geacon at Cobalt Strike ay orihinal na idinisenyo bilang mga lehitimong kagamitan na ginagamit ng mga organisasyon upang subukan ang kanilang seguridad sa network sa pamamagitan ng mga simulate na pag-atake, ang mga masasamang pag-iisip na aktor ay lalong nagsasamantala sa kanila para sa iba't ibang kasuklam-suklam na aktibidad.

Sa loob ng maraming taon, sinamantala ng mga aktor ng pagbabanta ang Cobalt Strike upang ikompromiso ang mga sistema ng Windows, na nanguna sa industriya ng cybersecurity na labanan ang patuloy na pagbabanta na ito. Gayunpaman, ang kamakailang pagtaas sa paggamit ng Geacon ay nagtatampok sa lumalawak na saklaw ng mga pag-atake na nagta-target sa mga macOS device. Ito ay nagpapahiwatig ng pangangailangan para sa pinahusay na pagbabantay at mga proactive na hakbang upang kontrahin ang mga umuusbong na taktika na ginagamit ng mga aktor ng pagbabanta na gumagamit ng mga tool na ito. Ang mga detalye tungkol sa Geacon Malware at ang mga mapaminsalang kakayahan nito ay inilabas sa isang ulat ng mga mananaliksik na sumusubaybay sa aktibidad ng pagbabanta.

Dalawang Variant ng Geacon Malware na Naobserbahan sa Wild

Ang unang file na nauugnay sa Geacon ay isang AppleScript applet na pinangalanang 'Xu Yiqing's Resume_20230320.app.' Ang layunin nito ay i-verify na ito ay talagang tumatakbo sa isang macOS system. Kapag nakumpirma na ito, magpapatuloy ang file upang kunin ang isang hindi napirmahang payload na kilala bilang 'Geacon Plus' mula sa Command-and-Control (C2) server ng mga umaatake, na mayroong IP address na nagmula sa China.

Ang partikular na C2 address (47.92.123.17) ay dati nang na-link sa mga pag-atake ng Cobalt Strike na nagta-target sa mga Windows machine. Ang asosasyong ito ay nagmumungkahi ng potensyal na koneksyon o pagkakatulad sa pagitan ng imprastraktura ng naobserbahang pag-atake at mga nakaraang pagkakataon ng aktibidad ng Cobalt Strike.

Bago simulan ang 'beaconing activity' nito, ang payload ay gumagamit ng mapanlinlang na taktika upang linlangin ang mga biktima sa pamamagitan ng pagpapakita ng decoy na PDF file. Ang ipinapakitang dokumento ay nagpapanggap bilang isang resume na pagmamay-ari ng isang indibidwal na nagngangalang Xy Yiqing, na naglalayong ilihis ang atensyon ng biktima mula sa mga nagbabantang aksyon na ginagawa ng malware sa background.

Ang partikular na Geacon payload na ito ay nagtataglay ng isang hanay ng mga kakayahan, kabilang ang pagsuporta sa mga komunikasyon sa network, pagsasagawa ng data encryption at decryption function, pagpapagana sa pag-download ng mga karagdagang payload, at pagpapadali sa pag-exfiltrate ng data mula sa nakompromisong system.

Ang Geacon Malware na Nagtatago sa Loob ng Trojanized na Application

Ang pangalawang Geacon Malware payload ay na-deploy sa pamamagitan ng SecureLink.app at SecureLink_Client, mga binagong bersyon ng lehitimong SecureLink application na ginagamit para sa secure na malayuang suporta. Gayunpaman, ang trojanized na bersyon na ito ay may kasamang kopya ng 'Geacon Pro' malware. Ang partikular na payload na ito ay partikular na nagta-target ng mga Intel-based na Mac system na tumatakbo sa OS X 10.9 (Mavericks) o mga mas bagong bersyon.

Sa paglunsad ng application, humihiling ito ng iba't ibang mga pahintulot, kabilang ang pag-access sa camera ng computer, mikropono, mga contact, mga larawan, mga paalala at kahit na mga pribilehiyo ng administrator. Ang mga pahintulot na ito ay karaniwang pinoprotektahan ng Transparency, Consent, and Control (TCC) na balangkas ng privacy ng Apple at ang pagbibigay sa kanila ay nagdudulot ng malalaking panganib.

Gayunpaman, sa kabila ng mataas na antas ng panganib na nauugnay sa mga pahintulot na ito, ang mga ito ay hindi pangkaraniwan para sa uri ng application na pinagkukunwari ng Geacon Malware, na nagpapagaan sa mga hinala ng user at nanlilinlang sa kanila upang ibigay ang hiniling na mga pahintulot. Ayon sa magagamit na impormasyon, ang variant ng Geacon Malware na ito ay nakikipag-ugnayan sa isang C2 server na matatagpuan sa Japan, na may IP address na 13.230.229.15.

Sa mga nakaraang taon, nagkaroon ng kapansin-pansing pagtaas sa mga pag-atake ng malware na nagta-target sa mga Mac device. Ang pagtaas na ito ay maaaring maiugnay sa lumalagong katanyagan ng mga Mac computer at ang maling akala na sila ay immune sa malware. Nakilala ng mga cybercriminal ang potensyal na halaga sa pag-target sa mga user ng Mac, na humahantong sa pagbuo at pag-deploy ng mas sopistikado at naka-target na malware na partikular na idinisenyo para sa mga macOS system. Naturally, nangangailangan ito ng mas mataas na pagbabantay mula sa mga gumagamit ng Mac at ang pagpapatupad ng sapat na mga hakbang sa seguridad upang maprotektahan ang kanilang mga device mula sa mga impeksyon sa malware.