Mac をターゲットとする Geacon マルウェア

Geacon は、Go プログラミング言語を使用した Cobalt Strike Beacon の実装として、約 4 年前に Github 上に登場しました。 SentinelOne は広くフォークされていましたが、最近まで macOS ターゲットに対する展開を検出していませんでした。

VirusTotal で見つかったペイロードを分析したところ、「z3ratu1」というハンドル名を持つ匿名の中国人開発者によって開発された 2 つの Geacon フォークへの人気の移行が示されています。 2022 年 10 月下旬のブログ投稿で、z3ratu1 は買い物中に Geacon プロジェクトを偶然見つけ、その開発ガイドへの関心を引き起こしたと述べました。その後間もなく、最初の Mach-O Geacon ペイロードが同年 11 月 10 日に VirusTotal に送信されました。

今年の 4 月までに、z3ratu1 の公開プロジェクト、geacon_plus と geacon_pro (購入できる可能性があります) は 1,000 個近くのスターを獲得しました。これらのプロジェクトは、Zhizhi Chuangyu Laboratory によって管理されているオープンソースのレッドチームおよび侵入ツール専用のパブリック リポジトリである 404 Starlink プロジェクトに追加されました。同月中に、2 つの異なる Geacon ペイロードが VirusTotal に送信され、そのうちの 1 つは真に悪意のあるキャンペーンの兆候を示していました。

2 つの異なるバージョンを使用した Geacon の拡散

Geacon には 2 つのバージョンが存在します。1 つは Apple-Intel アーキテクチャ専用にコンパイルされ、もう 1 つは Apple シリコンもサポートします。このマルウェアは、OS X 10.9 Mavericks から最新リリースまでの macOS バージョンと互換性があります。

Geacon は、通信とコマンドの受信、スパイ行為、データ盗難、追加の悪意のあるプログラムやコンポーネントをダウンロード/インストールする機能など、さまざまな機能を備えています。この悪意のあるソフトウェアを効果的に動作させるには、ユーザーに管理者権限を付与する必要があります。

さらに、Geacon は、デバイスのカメラ、マイク、および画像、写真、連絡先などのその他のさまざまなデータにアクセスする許可を求めます。マルウェアがこれらのデバイス機能を制御すると、ビデオや音声が記録されるリスクがあり、脅迫などの不正な目的に悪用される可能性があります。

Mac マルウェアの状況は近年どう変化したか

近年、Mac デバイスを標的としたマルウェア攻撃の頻度が著しく増加しています。 Mac コンピュータは、その堅牢なセキュリティとウイルスの影響の少なさで歴史的に知られており、悪意のあるソフトウェアに対して比較的安全であるという評判を得てきました。

しかし、Mac の人気が高まり続けるにつれて、サイバー犯罪者は利益の可能性を認識し、Apple のエコシステムの脆弱性を悪用することに焦点を移しています。この変化により、アドウェアやランサムウェアから、特に Mac ユーザー向けにカスタマイズされた高度なフィッシング詐欺に至るまで、マルウェア攻撃が着実に増加しています。

その結果、Mac ユーザーは現在、進化する脅威からデバイスと個人データを守るための警戒と予防的なセキュリティ対策の必要性が高まっています。