マルチライセンス割引
Threat Database Mac Malware Geacon Mac マルウェア

Geacon Mac マルウェア

Mac Malware, TrojansMezoまで
翻訳内容:
日本語

サイバーセキュリティ研究者によると、Geacon マルウェアは、Go プログラミング言語を使用して構築された Cobalt Strike ビーコンの実装です。この脅威は、macOS デバイスをターゲットとする強力な脅威ツールとして出現しました。 Geacon とCobalt Strike は元々、組織が模擬攻撃を通じてネットワーク セキュリティをテストするために使用する正規のユーティリティとして設計されましたが、悪意のある攻撃者がこれらをさまざまな不正行為に悪用することが増えています。

長年にわたり、脅威アクターは Cobalt Strike を利用して Windows システムを侵害しており、サイバーセキュリティ業界はこの持続的な脅威と継続的に戦うようになっています。ただし、最近の Geacon の使用量の増加は、macOS デバイスをターゲットとした攻撃の範囲が拡大していることを浮き彫りにしています。これは、これらのツールを利用する脅威アクターが採用する進化する戦術に対抗するための警戒強化と事前対策の必要性を示しています。 Geacon マルウェアとその有害な機能の詳細は、この脅威の活動を監視している研究者らのレポートで発表されました。

実環境で観察された Geacon マルウェアの 2 つの亜種

Geacon に関連付けられた最初のファイルは、「Xu Yiqing's Resume_20230320.app」という名前の AppleScript アプレットです。その目的は、macOS システム上で実際に実行されていることを確認することです。これが確認されると、ファイルは、中国から発信された IP アドレスを持つ攻撃者のコマンドアンドコントロール (C2) サーバーから「Geacon Plus」として知られる未署名のペイロードの取得を開始します。

特定の C2 アドレス (47.92.123.17) は、Windows マシンをターゲットとした Cobalt Strike 攻撃に以前からリンクされていました。この関連性は、観察された攻撃のインフラストラクチャと Cobalt Strike アクティビティの以前のインスタンスとの間の潜在的な関連性または類似性を示唆しています。

「ビーコン活動」を開始する前に、ペイロードは、おとりの PDF ファイルを表示することで被害者を誤解させる欺瞞的な戦術を採用します。表示された文書は、Xy Yiqing という名前の個人の履歴書を装っており、マルウェアがバックグラウンドで実行している脅威的な行為から被害者の注意をそらすことを目的としています。

この特定の Geacon ペイロードは、ネットワーク通信のサポート、データ暗号化および復号化機能の実行、追加ペイロードのダウンロードの有効化、侵害されたシステムからのデータの抽出の促進など、さまざまな機能を備えています。

トロイの木馬化されたアプリケーション内に潜む Geacon マルウェア

2 番目の Geacon マルウェア ペイロードは、安全なリモート サポートに使用される正規の SecureLink アプリケーションの修正バージョンである SecureLink.app および SecureLink_Client を通じて展開されます。ただし、このトロイの木馬化バージョンには、「Geacon Pro」マルウェアのコピーが含まれています。この特定のペイロードは、特に OS X 10.9 (Mavericks) 以降のバージョンを実行している Intel ベースの Mac システムをターゲットとしています。

アプリケーションを起動すると、コンピュータのカメラ、マイク、連絡先、写真、リマインダー、さらには管理者権限へのアクセスなど、さまざまな許可が要求されます。これらの権限は通常、Apple の透明性、同意、および制御 (TCC) プライバシー フレームワークによって保護されており、許可すると重大なリスクが生じます。

ただし、これらのアクセス許可には高レベルのリスクが伴うにもかかわらず、Geacon マルウェアが偽装しているアプリケーションの種類としてはそれほど珍しいことではなく、ユーザーの疑いを和らげ、要求されたアクセス許可を与えるように騙します。入手可能な情報によると、この Geacon マルウェア亜種は、IP アドレス 13.230.229.15 を持つ日本にある C2 サーバーと通信します。

ここ数年、Mac デバイスを標的としたマルウェア攻撃が顕著に増加しています。この増加の原因は、Mac コンピュータの人気の高まりと、Mac コンピュータはマルウェアの影響を受けないという誤解にあると考えられます。サイバー犯罪者は、Mac ユーザーをターゲットにする潜在的な価値を認識しており、macOS システム専用に設計された、より高度でターゲットを絞ったマルウェアの開発と展開につながっています。当然のことながら、これには Mac ユーザーの警戒を強化し、デバイスをマルウェア感染から保護するための十分なセキュリティ対策の実装が必要になります。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...