Aviso: los actores de amenazas ahora están desplegando una implementación en lenguaje Go de Cobalt Strike llamada Geacon que apareció por primera vez en GitHub hace cuatro años y había permanecido en gran parte bajo el radar.
Están utilizando la herramienta de simulación de ataques y formación de equipos rojos para apuntar a los sistemas macOS de la misma manera que han utilizado Cobalt Strike para la actividad posterior a la explotación en plataformas Windows en los últimos años.
Investigadores de seguridad en SentinelOne informó de la actividad esta semana después de detectar varias cargas útiles de Geacon que aparecieron en VirusTotal en los últimos meses. El análisis de SentinelOne de las muestras mostró que algunas probablemente estaban relacionadas con ejercicios legítimos del equipo rojo empresarial, mientras que otras parecían ser artefactos de actividad maliciosa.
Una muestra maliciosa enviada a VirusTotal el 5 de abril es un subprograma AppleScript titulado "Xu Yiqing's Resume_20230320.app" que descarga una carga útil de Geacon sin firmar desde un servidor malicioso con una dirección IP con sede en China.
SentinelOne descubrió que la aplicación está compilada para sistemas macOS que se ejecutan en Apple o Intel. El applet contiene lógica que lo ayuda a determinar la arquitectura de un sistema macOS en particular para que pueda descargar la carga útil específica de Geacon para ese dispositivo. El binario Geacon compilado en sí mismo contiene un PDF incrustado que primero muestra un currículum para un individuo llamado Xu Yiqing antes de dirigirse a su servidor de comando y control (C2).
“El binario Geacon compilado tiene una multitud de funciones para tareas como comunicaciones de red, cifrado, descifrado, descarga de más cargas útiles y extracción de datos”, dijo SentinelOne.
En otro caso, SentinelOne descubrió una carga útil de Geacon incrustada en una versión falsa de la aplicación de soporte remoto empresarial SecureLink. La carga útil apareció en VirusTotal el 11 de abril y estaba dirigida solo a sistemas macOS basados en Intel. A diferencia de la muestra anterior de Geacon, SentinelOne descubrió que la segunda era una aplicación básica, sin firmar, probablemente construida con una herramienta automatizada. La aplicación requería que el usuario otorgara acceso a la cámara del dispositivo, el micrófono, los privilegios de administrador y otras configuraciones que normalmente están protegidas bajo el marco de Transparencia, Consentimiento y Control de macOS. En este caso, la carga útil de Geacon se comunicó con un servidor Cobalt Strike C2 conocido con una dirección IP con sede en Japón.
“Esta no es la primera vez que vemos un troyano disfrazado de SecureLink con un marco de ataque de código abierto incorporado”, dijo SentinelOne. El proveedor de seguridad señaló su descubrimiento en septiembre pasado de un marco de ataque de código abierto para macOS llamado Sliver integrado con un SecureLink falso como otro ejemplo. “[Es] un recordatorio para todos de que las Mac empresariales ahora están siendo ampliamente atacadas por una variedad de actores de amenazas”, dijo SentinelOne.
Interés repentino
Los atacantes han usado Cobalt Strike durante mucho tiempo para una variedad de actividades maliciosas posteriores a la explotación en sistemas Windows, incluido el establecimiento de comando y control, movimiento lateral, generación de carga útil y entrega de explotación. Ha habido casos en los que los atacantes ocasionalmente también han usado Cobalt Strike para apuntar a macOS. Un ejemplo es un ataque de typosquatting el año pasado en el que un actor de amenazas intentó implementar Cobalt Strike en sistemas Windows, Linux y macOS al cargar un paquete malicioso denominado "pymafka" al registro PyPI.
En otros casos, los atacantes también han utilizado una herramienta de formación de equipos rojos enfocada en macOS llamada Mythic como parte de sus cadenas de ataque.
La actividad que involucra a Geacon comenzó poco después de que un investigador chino anónimo que usaba el identificador "z3ratu1" lanzara dos bifurcaciones de Geacon en octubre pasado: una privada y probablemente a la venta llamada "geacon_pro" y la otra pública, llamada geacon-plus. La versión pro incluye algunas funciones adicionales, como la omisión de antivirus y capacidades anti-kill, dice Tom Hegel, investigador principal de amenazas en SentinelOne.
Él atribuye el repentino interés del atacante en Geacon a un blog que z3ratu1 publicó describiendo las dos bifurcaciones y sus intentos de comercializar su trabajo. El proyecto Geacon original en sí fue en gran parte para el análisis de protocolos y propósitos de ingeniería inversa, dice.
Ataques Mac
El creciente uso malicioso de Geacon encaja con un patrón más amplio de creciente interés de los atacantes en los sistemas macOS.
A principios de este año, los investigadores de Uptycs informaron sobre un novedosa nueva muestra de malware para Mac apodado "MacStealer" que, de acuerdo con su nombre, robó documentos, datos del llavero iCloud, cookies del navegador y otros datos de los usuarios de Apple. En abril, los operadores de "Lockbit" se convirtieron en el primer actor importante de ransomware en desarrollar una versión para Mac de su malware, preparando el escenario para que otros lo sigan. Y el año pasado, el notorio Grupo Lazarus de Corea del Norte se convirtió en uno de los primeros grupos respaldados por el estado en comenzar a apuntar a las Mac de Apple.
SentinelOne ha lanzado un conjunto de indicadores para ayudar a las organizaciones a identificar las cargas maliciosas de Geacon.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :posee
- :es
- :no
- :dónde
- $ UP
- 11
- a
- de la máquina
- actividades
- actividad
- los actores
- Adicionales
- dirección
- Después
- .
- Todos
- también
- entre
- an
- análisis
- y
- Anónimo
- Otra
- applicación
- Aparecido
- Apple
- Aplicación
- Abril
- arquitectura
- somos
- AS
- At
- atacar
- atentado
- Los intentos
- Confirmación de Viaje
- basado
- BE
- se convirtió en
- a las que has recomendado
- esto
- antes
- "Ser"
- Blog
- más amplio
- cada navegador
- cookies del navegador
- construido
- by
- , que son
- cámara
- PUEDEN
- capacidades
- cadenas
- chino
- comunicados
- Comunicaciónes
- consentimiento
- contiene
- control
- galletas
- datos
- entrega
- desplegar
- Desplegando
- Determinar
- dispositivo
- descubierto CRISPR
- descubrimiento
- documentos
- descargar
- Descargas
- doblado
- ya sea
- integrado
- cifrado
- Ingeniería
- Empresa
- el establecimiento
- Éter (ETH)
- ejemplo
- Explotar
- falso
- Caracteristicas
- pocos
- Nombre
- primer vez
- centrado
- seguir
- tenedores
- encontrado
- Digital XNUMXk
- Marco conceptual
- Desde
- funciones
- promover
- generación de AHSS
- GitHub
- conceder
- Grupo procesos
- Grupo
- Creciendo
- tenido
- encargarse de
- Tienen
- he
- ayuda
- ayuda
- su
- HTTPS
- Identifique
- implementación
- in
- incluye
- Incluye
- indicadores
- INSTRUMENTO individual
- ejemplo
- Intel
- intereses
- IP
- Dirección IP
- IT
- SUS
- sí mismo
- Japón
- jpg
- acuerdo
- conocido
- Corea
- principalmente
- Apellido
- El año pasado
- Lázaro
- Grupo Lázaro
- legítima
- como
- que otros
- Linux
- lógica
- Largo
- Mac
- macos
- gran
- el malware
- Mercado
- micrófono
- meses
- movimiento
- mucho más
- multitud
- nombre
- Llamado
- del sistema,
- Nuevo
- North
- Corea del Norte
- notorio
- ahora
- octubre
- of
- on
- ONE
- , solamente
- de código abierto
- operadores
- or
- para las fiestas.
- reconocida por
- Otro
- Otros
- salir
- paquete
- parte
- particular
- pasado
- Patrón de Costura
- (PDF)
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- publicado
- anterior
- privada
- privilegios
- Pro
- proyecto
- protegido
- protocolo
- público
- fines
- radar
- ransomware
- reciente
- registrarte
- relacionado
- liberado
- se mantuvo
- reportado
- Requisitos
- investigador
- investigadores
- currículum
- marcha atrás
- correr
- s
- Said
- Venta
- mismo
- dice
- Segundo
- EN LINEA
- visto
- mayor
- Centinela
- Septiembre
- set
- pólipo
- ajustes
- Varios
- Dentro de poco
- mostró
- Silicio
- So
- algo
- soluciones y
- punteo
- Etapa
- fundó
- estola
- strike
- Subido
- tal
- repentino
- te
- Todas las funciones a su disposición
- Target
- afectados
- orientación
- tareas
- esa
- El
- su
- Ahí.
- ellos
- así
- esta semana
- este año
- amenaza
- actores de amenaza
- equipo
- titulada
- a
- del IRS
- Transparencia
- Trojan
- dos
- típicamente
- bajo
- diferente a
- utilizan el
- usado
- Usuario
- usuarios
- usando
- variedad
- vendedor
- versión
- fue
- Camino..
- we
- semana
- WELL
- tuvieron
- mientras
- extensamente
- ventanas
- Actividades:
- año
- años
- zephyrnet