macOS 系统日益严重的攻击威胁

重点信息

• Geacon 是一个开源 Cobalt Strike 端口，正被用于针对 macOS 设备的攻击，尤其是在最近的时间内，攻击案例有所增加。
• Geacon 因中国开发的分支版本 Geacon Plus 和 Geacon Pro 而受到更多关注。
• 恶意 Geacon 被观察到的两个实例中，一个涉及使用 AppleScript 伪装的 PDF 文档，另一个则使用被植入的 SecureLink 应用。

根据的报告，利用开源 Cobalt Strike端口的 Geacon 对 macOS 设备的攻击正在增加。虽然自首次出现在 GitHub 后，Geacon并未受到太多关注，但随着上个月中国开发的分支版本 Geacon Plus 和 Geacon Pro 的出现，该工具的使用频率显著上升。而且，Zhizhi Chuangyu 实验室的公共 GitHub库包含这一分支版本，进一步推动了其在威胁行为者中的流行，最新的 SentinelOne 报告对此进行了详细说明。

在四月份，恶意 Geacon 的传播已被记录下来两次。第一次事件涉及一个 AppleScript 小程序文件，该文件加载一个伪装成某位名叫 XuYiqing 的简历的 PDF 文档，随后启动 Geacon。这一过程能够实现数据加密与解密、数据外泄以及进一步下载恶意软件。另一种攻击则涉及一个被植入恶意代码的 SecureLink应用程序，该应用在运行 OS X 10.9 及更高版本的 Intel 系列 Mac 上部署 Geacon Pro。

相关信息

小提示： 保持你的 macOS 设备的安全更新，防止受到此类攻击的影响。