Phần mềm độc hại Geacon Mac

Theo các nhà nghiên cứu an ninh mạng, phần mềm độc hại Geacon là một triển khai của đèn hiệu Cobalt Strike, được xây dựng bằng ngôn ngữ lập trình Go. Mối đe dọa đã nổi lên như một công cụ đe dọa mạnh mẽ để nhắm mục tiêu các thiết bị macOS. Mặc dù Geacon và Cobalt Strike ban đầu được thiết kế như những tiện ích hợp pháp được các tổ chức sử dụng để kiểm tra an ninh mạng của họ thông qua các cuộc tấn công mô phỏng, nhưng những kẻ xấu đã ngày càng khai thác chúng cho các hoạt động bất chính khác nhau.

Trong nhiều năm, các tác nhân đe dọa đã lợi dụng Cobalt Strike để xâm nhập hệ thống Windows, khiến ngành an ninh mạng phải liên tục chống lại mối đe dọa dai dẳng này. Tuy nhiên, sự gia tăng gần đây trong việc sử dụng Geacon làm nổi bật phạm vi tấn công mở rộng nhắm mục tiêu vào các thiết bị macOS. Điều này cho thấy sự cần thiết phải nâng cao cảnh giác và các biện pháp chủ động để chống lại các chiến thuật đang phát triển được sử dụng bởi các tác nhân đe dọa tận dụng các công cụ này. Thông tin chi tiết về Phần mềm độc hại Geacon và các khả năng gây hại của nó đã được công bố trong một báo cáo của các nhà nghiên cứu đang theo dõi hoạt động của mối đe dọa.

Hai biến thể của phần mềm độc hại Geacon được quan sát thấy trong tự nhiên

Tệp đầu tiên được liên kết với Geacon là một applet AppleScript có tên 'Xu Yiqing's Resume_20230320.app.' Mục đích của nó là để xác minh rằng nó thực sự đang chạy trên hệ thống macOS. Khi điều này đã được xác nhận, tệp sẽ tiếp tục truy xuất một tải trọng chưa được ký có tên là 'Geacon Plus' từ máy chủ Command-and-Control (C2) của những kẻ tấn công, có địa chỉ IP bắt nguồn từ Trung Quốc.

Địa chỉ C2 cụ thể (47.92.123.17) trước đây đã được liên kết với các cuộc tấn công Cobalt Strike nhắm vào các máy Windows. Mối liên hệ này cho thấy mối liên hệ tiềm năng hoặc sự tương đồng giữa cơ sở hạ tầng của cuộc tấn công được quan sát và các trường hợp hoạt động Cobalt Strike trước đây.

Trước khi bắt đầu 'hoạt động báo hiệu' của mình, tải trọng sử dụng một chiến thuật lừa đảo để đánh lừa nạn nhân bằng cách hiển thị tệp PDF mồi nhử. Tài liệu được hiển thị giả làm sơ yếu lý lịch của một cá nhân có tên Xy Yiqing, nhằm chuyển hướng sự chú ý của nạn nhân khỏi các hành động đe dọa mà phần mềm độc hại đang thực hiện trong nền.

Tải trọng Geacon cụ thể này có nhiều khả năng, bao gồm hỗ trợ truyền thông mạng, thực hiện các chức năng mã hóa và giải mã dữ liệu, cho phép tải xuống các tải trọng bổ sung và tạo điều kiện thuận lợi cho việc lọc dữ liệu khỏi hệ thống bị xâm nhập.

Phần mềm độc hại Geacon ẩn bên trong ứng dụng bị nhiễm trojan

Tải trọng Phần mềm độc hại Geacon thứ hai được triển khai thông qua SecureLink.app và SecureLink_Client, các phiên bản đã sửa đổi của ứng dụng SecureLink hợp pháp được sử dụng để hỗ trợ từ xa an toàn. Tuy nhiên, phiên bản trojan này bao gồm một bản sao của phần mềm độc hại 'Geacon Pro'. Tải trọng cụ thể này nhắm mục tiêu cụ thể đến các hệ thống Mac dựa trên Intel chạy OS X 10.9 (Mavericks) hoặc các phiên bản mới hơn.

Khi khởi chạy ứng dụng, nó yêu cầu nhiều quyền khác nhau, bao gồm quyền truy cập vào máy ảnh, micrô, danh bạ, ảnh, lời nhắc và thậm chí cả quyền quản trị viên của máy tính. Các quyền này thường được bảo vệ bởi khung quyền riêng tư Tính minh bạch, Đồng ý và Kiểm soát (TCC) của Apple và việc cấp cho chúng sẽ gây ra rủi ro đáng kể.

Tuy nhiên, mặc dù mức độ rủi ro cao liên quan đến các quyền này, nhưng chúng không phải là điều bất thường đối với loại ứng dụng mà Phần mềm độc hại Geacon đang giả dạng, làm giảm bớt sự nghi ngờ của người dùng và lừa họ cấp các quyền được yêu cầu. Theo thông tin có sẵn, biến thể Phần mềm độc hại Geacon này giao tiếp với máy chủ C2 đặt tại Nhật Bản, với địa chỉ IP 13.230.229.15.

Trong những năm qua, các cuộc tấn công bằng phần mềm độc hại nhắm mục tiêu vào thiết bị Mac đã gia tăng đáng kể. Sự gia tăng này có thể là do sự phổ biến ngày càng tăng của máy tính Mac và quan niệm sai lầm rằng chúng miễn nhiễm với phần mềm độc hại. Tội phạm mạng đã nhận ra giá trị tiềm năng trong việc nhắm mục tiêu người dùng Mac, dẫn đến việc phát triển và triển khai phần mềm độc hại nhắm mục tiêu và tinh vi hơn được thiết kế riêng cho hệ thống macOS. Đương nhiên, điều này đòi hỏi người dùng Mac phải tăng cường cảnh giác và thực hiện đầy đủ các biện pháp bảo mật để bảo vệ thiết bị của họ khỏi bị nhiễm phần mềm độc hại.