Geacon Mac 恶意软件

据网络安全研究人员称，Geacon 恶意软件是 Cobalt Strike 信标的一种实现，使用 Go 编程语言构建。该威胁已成为针对 macOS 设备的强大威胁工具。虽然 Geacon 和Cobalt Strike最初被设计为组织用来通过模拟攻击测试其网络安全性的合法实用程序，但恶意行为者越来越多地利用它们进行各种邪恶活动。

多年来，威胁行为者一直利用 Cobalt Strike 来破坏 Windows 系统，导致网络安全行业不断与这种持续存在的威胁作斗争。然而，最近 Geacon 使用率的上升凸显了针对 macOS 设备的攻击范围不断扩大。这意味着需要提高警惕并采取积极措施，以应对威胁行为者利用这些工具所采用的不断演变的策略。一直在监视威胁活动的研究人员在一份报告中发布了有关 Geacon 恶意软件及其有害功能的详细信息。

在野观察到的 Geacon 恶意软件的两个变体

与 Geacon 关联的第一个文件是名为“徐一清的 Resume_20230320.app”的 AppleScript 小程序。它的目的是验证它确实在 macOS 系统上运行。一旦确认这一点，该文件就会继续从攻击者的命令与控制 (C2) 服务器检索名为“Geacon Plus”的未签名有效负载，该服务器的 IP 地址来自中国。

特定的 C2 地址 (47.92.123.17) 之前已与针对 Windows 机器的 Cobalt Strike 攻击相关联。这种关联表明观察到的攻击的基础设施与之前的 Cobalt Strike 活动实例之间存在潜在联系或相似之处。

在启动其“信标活动”之前，有效负载采用欺骗性策略通过显示诱饵 PDF 文件来误导受害者。显示的文件伪装成属于名为 Xy Yiqing 的个人的简历，旨在转移受害者的注意力，使其无法注意到恶意软件在后台执行的威胁行为。

这种特定的 Geacon 有效载荷具有一系列功能，包括支持网络通信、执行数据加密和解密功能、支持下载额外的有效载荷，以及促进从受感染系统中泄露数据。

隐藏在木马化应用程序中的 Geacon 恶意软件

第二个 Geacon 恶意软件有效载荷是通过 SecureLink.app 和 SecureLink_Client 部署的，它们是用于安全远程支持的合法 SecureLink 应用程序的修改版本。但是，此木马化版本包含“Geacon Pro”恶意软件的副本。此特定有效负载专门针对运行 OS X 10.9 (Mavericks) 或更高版本的基于 Intel 的 Mac 系统。

启动该应用程序后，它会请求各种权限，包括访问计算机的摄像头、麦克风、联系人、照片、提醒甚至管理员权限。这些权限通常受 Apple 的透明度、同意和控制 (TCC) 隐私框架保护，授予它们会带来重大风险。

然而，尽管与这些权限相关的风险很高，但对于 Geacon 恶意软件伪装成的应用程序类型来说，它们并不少见，可以减轻用户的怀疑并诱使他们授予所请求的权限。根据现有信息，该 Geacon 恶意软件变体与位于日本的 C2 服务器通信，IP 地址为 13.230.229.15。

在过去几年中，针对 Mac 设备的恶意软件攻击显着增加。这种增长可归因于 Mac 计算机的日益普及以及它们对恶意软件免疫的误解。网络犯罪分子已经认识到以 Mac 用户为目标的潜在价值，导致开发和部署专为 macOS 系统设计的更复杂、更有针对性的恶意软件。自然地，这需要 Mac 用户提高警惕并实施足够的安全措施来保护他们的设备免受恶意软件感染。