Geacon Mac 惡意軟件

據網絡安全研究人員稱，Geacon 惡意軟件是 Cobalt Strike 信標的一種實現，使用 Go 編程語言構建。該威脅已成為針對 macOS 設備的強大威脅工具。雖然 Geacon 和Cobalt Strike最初被設計為組織用來通過模擬攻擊測試其網絡安全性的合法實用程序，但惡意行為者越來越多地利用它們進行各種邪惡活動。

多年來，威脅行為者一直利用 Cobalt Strike 來破壞 Windows 系統，導致網絡安全行業不斷與這種持續存在的威脅作鬥爭。然而，最近 Geacon 使用率的上升凸顯了針對 macOS 設備的攻擊範圍不斷擴大。這意味著需要提高警惕並採取積極措施，以應對威脅行為者利用這些工具所採用的不斷演變的策略。一直在監視威脅活動的研究人員在一份報告中發布了有關 Geacon 惡意軟件及其有害功能的詳細信息。

在野觀察到的 Geacon 惡意軟件的兩個變體

與 Geacon 關聯的第一個文件是名為“徐一清的 Resume_20230320.app”的 AppleScript 小程序。它的目的是驗證它確實在 macOS 系統上運行。一旦確認這一點，該文件就會繼續從攻擊者的命令與控制 (C2) 服務器檢索名為“Geacon Plus”的未簽名有效負載，該服務器的 IP 地址來自中國。

特定的 C2 地址 (47.92.123.17) 之前已與針對 Windows 機器的 Cobalt Strike 攻擊相關聯。這種關聯表明觀察到的攻擊的基礎設施與之前的 Cobalt Strike 活動實例之間存在潛在聯繫或相似之處。

在啟動其“信標活動”之前，有效負載採用欺騙性策略通過顯示誘餌 PDF 文件來誤導受害者。顯示的文件偽裝成屬於名為 Xy Yiqing 的個人的簡歷，旨在轉移受害者的注意力，使其無法注意到惡意軟件在後台執行的威脅行為。

這種特定的 Geacon 有效載荷具有一系列功能，包括支持網絡通信、執行數據加密和解密功能、支持下載額外的有效載荷，以及促進從受感染系統中洩露數據。

隱藏在木馬化應用程序中的 Geacon 惡意軟件

第二個 Geacon 惡意軟件有效載荷是通過 SecureLink.app 和 SecureLink_Client 部署的，它們是用於安全遠程支持的合法 SecureLink 應用程序的修改版本。但是，此木馬化版本包含“Geacon Pro”惡意軟件的副本。此特定有效負載專門針對運行 OS X 10.9 (Mavericks) 或更高版本的基於 Intel 的 Mac 系統。

啟動該應用程序後，它會請求各種權限，包括訪問計算機的攝像頭、麥克風、聯繫人、照片、提醒甚至管理員權限。這些權限通常受 Apple 的透明度、同意和控制 (TCC) 隱私框架保護，授予它們會帶來重大風險。

然而，儘管與這些權限相關的風險很高，但對於 Geacon 惡意軟件偽裝成的應用程序類型來說，它們並不少見，可以減輕用戶的懷疑並誘使他們授予所請求的權限。根據現有信息，該 Geacon 惡意軟件變體與位於日本的 C2 服務器通信，IP 地址為 13.230.229.15。

在過去幾年中，針對 Mac 設備的惡意軟件攻擊顯著增加。這種增長可歸因於 Mac 計算機的日益普及以及它們對惡意軟件免疫的誤解。網絡犯罪分子已經認識到以 Mac 用戶為目標的潛在價值，導致開發和部署專為 macOS 系統設計的更複雜、更有針對性的惡意軟件。自然地，這需要 Mac 用戶提高警惕並實施足夠的安全措施來保護他們的設備免受惡意軟件感染。