Ettevaatust: ohus osalejad võtavad nüüd kasutusele Cobalt Strike'i Go-keelse teostuse nimega Geacon, mis ilmus GitHubis esmakordselt neli aastat tagasi ja jäi suures osas radari alla.
Nad kasutavad punast meeskonda ja rünnakute simulatsiooni tööriista, et sihtida macOS-i süsteeme samamoodi, nagu nad on viimastel aastatel kasutanud Cobalt Strike'i Windowsi platvormide ekspluateerimisjärgseks tegevuseks.
SentinelOne'i turvateadlased teatas tegevusest sel nädalal pärast seda, kui märkasin viimastel kuudel VirusTotalis mitu Geaconi kasulikku koormat. SentinelOne'i proovide analüüs näitas, et mõned neist olid tõenäoliselt seotud seaduslike ettevõtte punase meeskonna harjutustega, samas kui teised näisid olevat pahatahtliku tegevuse artefaktid.
Üks 5. aprillil VirusTotalile saadetud pahatahtlik näidis on AppleScripti aplett nimega "Xu Yiqing's Resume_20230320.app", mis laadib Hiina-põhise IP-aadressiga pahatahtlikust serverist alla allkirjastamata Geaconi kasuliku koormuse.
SentinelOne leidis, et rakendus on kompileeritud MacOS-süsteemide jaoks, mis töötavad kas Apple'i või Inteli ränil. Aplett sisaldab loogikat, mis aitab tal määrata konkreetse macOS-i süsteemi arhitektuuri, et saaks alla laadida konkreetse Geaconi kasuliku koormuse selle seadme jaoks. Kompileeritud Geaconi kahendfail ise sisaldab manustatud PDF-faili, mis kuvab esmalt Xu Yiqingi nimelise isiku CV, enne kui see suunatakse selle käsu- ja juhtimisserverisse (C2).
"Kompileeritud Geaconi kahendfailil on palju funktsioone selliste ülesannete jaoks nagu võrgusuhtlus, krüptimine, dekrüpteerimine, täiendavate kasulike koormuste allalaadimine ja andmete väljafiltreerimine," ütles SentinelOne.
Teisel juhul avastas SentinelOne SecureLinki ettevõtte kaugtoe rakenduse võltsversiooni sisse manustatud Geaconi kasuliku koorma. Kasulik koormus ilmus VirusTotalis 11. aprillil ja oli suunatud ainult Inteli-põhistele macOS-süsteemidele. Erinevalt eelmisest Geaconi proovist leidis SentinelOne, et teine on paljaste luudeta, allkirjastamata rakendus, mis on tõenäoliselt ehitatud automatiseeritud tööriistaga. Rakendus nõudis, et kasutaja annaks juurdepääsu seadme kaamerale, mikrofonile, administraatoriõigustele ja muudele sätetele, mis on tavaliselt kaitstud macOS-i läbipaistvuse, nõusoleku ja juhtimise raamistikuga. Sel juhul suhtles Geaconi kasulik koormus Jaapanis asuva IP-aadressiga tuntud Cobalt Strike C2 serveriga.
"See pole esimene kord, kui me näeme, et Trooja on maskeeritud kui SecureLinki manustatud avatud lähtekoodiga ründeraamistikuga," ütles SentinelOne. Turvamüüja viitas eelmise aasta septembris avastamisele MacOS-i avatud lähtekoodiga ründeraamistiku nimega Sliver, millele on teise näitena manustatud võltsitud SecureLink. "[See] on meeldetuletus kõigile, et ettevõtete Mac-arvutid on nüüd laialdaselt sihikule sattunud mitmesuguste ohustajate poolt," ütles SentinelOne.
Äkiline huvi
Ründajad on pikka aega kasutanud Cobalt Strike'i mitmesugusteks pahatahtlikeks ärakasutamisjärgseteks tegevusteks Windowsi süsteemides, sealhulgas käsu- ja juhtimise loomiseks, külgsuunaliseks liikumiseks, kasuliku koormuse genereerimiseks ja ärakasutamise edastamiseks. On juhtumeid, kus ründajad on aeg-ajalt kasutanud Cobalt Strike'i ka MacOS-i sihtimiseks. Üks näide on mullune kirjavigade rünnak, kus ohustaja üritas Cobalt Strike'i juurutada Windowsi, Linuxi ja macOS-i süsteemides. "pymafka" nimelise pahatahtliku paketi üleslaadimine PyPI registrisse.
Muudel juhtudel on ründajad oma rünnakuahelate osana kasutanud ka MacOS-ile keskendunud punase meeskonnatöö tööriista nimega Mythic.
Geaconi endaga seotud tegevus sai alguse varsti pärast seda, kui anonüümne Hiina teadlane, kes kasutas käepidet “z3ratu1”, lasi mullu oktoobris välja kaks Geaconi kahvlit – ühe privaatse ja tõenäoliselt müüdava nimega “geacon_pro” ja teise avaliku nimega geacon-plus. Pro-versioon sisaldab mõningaid lisafunktsioone, nagu viirusetõrje ja tapmisvastased võimalused, ütleb SentinelOne'i vanemohuteadur Tom Hegel.
Ta omistab ründaja äkilise huvi Geaconi vastu ajaveebile, mille z3ratu1 postitas, kirjeldades kahte kahvlit ja tema katseid oma tööd turustada. Ta ütleb, et algne Geaconi projekt ise oli suuresti protokollianalüüsi ja pöördprojekteerimise eesmärkidel.
Maci rünnakud
Geaconi kasvav pahatahtlik kasutamine sobib laiemalt ründajate kasvava huviga macOS-süsteemide vastu.
Selle aasta alguses teatasid Uptycsi teadlased a uudne uus Maci pahavara näidis nimega "MacStealer", mis varastas oma nime järgi dokumendid, iCloudi võtmehoidja andmed, brauseri küpsised ja muud andmed Apple'i kasutajatelt. Aprillis said “Lockbit” operaatorid esimeseks suuremaks lunavarategijaks arendada välja Maci versioon oma pahavara, luues aluse teistele järgimiseks. Ja eelmisel aastal sai Põhja-Korea kurikuulsast Lazaruse rühmitusest üks esimesi teadaolevaid riiklikult toetatud rühmitusi alustage Apple Maci sihtimist.
SentinelOne on välja andnud indikaatorite komplekti, mis aitavad organisatsioonidel tuvastada pahatahtlikke Geaconi kasulikke koormusi.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
- Allikas: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :on
- :on
- :mitte
- : kus
- $ UP
- 11
- a
- juurdepääs
- tegevus
- tegevus
- osalejad
- Täiendavad lisad
- aadress
- pärast
- tagasi
- Materjal: BPA ja flataatide vaba plastik
- Ka
- vahel
- an
- analüüs
- ja
- anonüümne
- Teine
- app
- ilmunud
- õun
- taotlus
- Aprill
- arhitektuur
- OLEME
- AS
- At
- rünnak
- üritasin
- Katsed
- Automatiseeritud
- põhineb
- BE
- sai
- muutuma
- olnud
- enne
- on
- Blogi
- laiem
- brauseri
- brauseri küpsised
- ehitatud
- by
- kutsutud
- kaamera
- CAN
- võimeid
- ketid
- hiina
- edastatud
- Side
- nõusolek
- sisaldab
- kontrollida
- küpsised
- andmed
- tarne
- juurutada
- juurutamine
- Määrama
- seade
- avastasin
- avastus
- Näidikute
- dokumendid
- lae alla
- allalaadimine
- dubleeritud
- kumbki
- varjatud
- krüpteerimist
- Inseneriteadus
- ettevõte
- asutades
- Eeter (ETH)
- näide
- Ekspluateeri
- võlts
- FUNKTSIOONID
- vähe
- esimene
- Esimest korda
- keskendunud
- järgima
- eest
- Forks
- avastatud
- neli
- Raamistik
- Alates
- funktsioonid
- edasi
- põlvkond
- GitHub
- anda
- Grupp
- Grupi omad
- Kasvavad
- olnud
- käepide
- Olema
- he
- aitama
- aitab
- tema
- HTTPS
- identifitseerima
- täitmine
- in
- hõlmab
- Kaasa arvatud
- näitajad
- eraldi
- Näiteks
- Intel
- huvi
- IP
- IP-aadress
- IT
- ITS
- ise
- Jaapan
- jpg
- pidamine
- teatud
- Korea
- suurelt jaolt
- viimane
- Eelmisel aastal
- Lazarus
- Laatsaruse rühm
- õigustatud
- nagu
- Tõenäoliselt
- Linux
- loogika
- Pikk
- mac
- MacOS
- peamine
- malware
- Turg
- mikrofon
- kuu
- liikumine
- palju
- rohkus
- nimi
- Nimega
- võrk
- Uus
- põhja-
- Põhja-Korea
- kuulsusrikk
- nüüd
- oktoober
- of
- on
- ONE
- ainult
- avatud lähtekoodiga
- ettevõtjad
- or
- organisatsioonid
- originaal
- Muu
- teised
- välja
- pakend
- osa
- eriline
- minevik
- Muster
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- postitanud
- eelmine
- era-
- privileegid
- Pro
- projekt
- kaitstud
- protokoll
- avalik
- eesmärkidel
- radar
- ransomware
- hiljuti
- registreerima
- seotud
- vabastatud
- jäi
- Teatatud
- nõutav
- uurija
- Teadlased
- Jätka
- tagasikäik
- jooksmine
- s
- Ütlesin
- müük
- sama
- ütleb
- Teine
- turvalisus
- nähtud
- vanem
- SentinelOne
- September
- komplekt
- kehtestamine
- seaded
- mitu
- Varsti
- näitas
- Räni
- So
- mõned
- konkreetse
- määrimine
- Stage
- alustatud
- varastas
- lööma
- esitatud
- selline
- äkiline
- süsteem
- süsteemid
- sihtmärk
- suunatud
- sihtimine
- ülesanded
- et
- .
- oma
- Seal.
- nad
- see
- sel nädalal
- Sel aastal
- oht
- ohus osalejad
- aeg
- pealkirjaga
- et
- tööriist
- läbipaistvus
- Trojan
- kaks
- tüüpiliselt
- all
- erinevalt
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- sort
- müüja
- versioon
- oli
- Tee..
- we
- nädal
- Hästi
- olid
- kuigi
- laialdaselt
- aknad
- koos
- Töö
- aasta
- aastat
- sephyrnet