Attention : les acteurs de la menace déploient actuellement une implémentation en langage Go de Cobalt Strike appelée Geacon, qui a fait surface pour la première fois sur GitHub il y a quatre ans et était restée largement sous le radar.
Ils utilisent l'outil d'équipe rouge et de simulation d'attaque pour cibler les systèmes macOS de la même manière qu'ils ont utilisé Cobalt Strike pour les activités post-exploit sur les plates-formes Windows ces dernières années.
Chercheurs en sécurité chez SentinelOne signalé l'activité cette semaine après avoir repéré plusieurs charges utiles Geacon apparaissant sur VirusTotal ces derniers mois. L'analyse des échantillons par SentinelOne a montré que certains étaient probablement liés à des exercices légitimes d'équipe rouge d'entreprise, tandis que d'autres semblaient être des artefacts d'activités malveillantes.
Un échantillon malveillant soumis à VirusTotal le 5 avril est une applet AppleScript intitulée "Xu Yiqing's Resume_20230320.app" qui télécharge une charge utile Geacon non signée à partir d'un serveur malveillant avec une adresse IP basée en Chine.
SentinelOne a découvert que l'application est compilée pour les systèmes macOS fonctionnant sur Apple ou Intel Silicon. L'applet contient une logique qui l'aide à déterminer l'architecture d'un système macOS particulier afin qu'il puisse télécharger la charge utile Geacon spécifique pour cet appareil. Le binaire Geacon compilé lui-même contient un PDF intégré qui affiche d'abord un CV pour un individu nommé Xu Yiqing avant de se diriger vers son serveur de commande et de contrôle (C2).
"Le binaire Geacon compilé a une multitude de fonctions pour des tâches telles que les communications réseau, le cryptage, le décryptage, le téléchargement de charges utiles supplémentaires et l'exfiltration de données", a déclaré SentinelOne.
Dans un autre cas, SentinelOne a découvert une charge utile Geacon intégrée dans une fausse version de l'application d'assistance à distance d'entreprise SecureLink. La charge utile est apparue dans VirusTotal le 11 avril et ne ciblait que les systèmes macOS basés sur Intel. Contrairement à l'échantillon Geacon précédent, SentinelOne a trouvé que le second était une application simple et non signée, probablement construite avec un outil automatisé. L'application exigeait que l'utilisateur accorde l'accès à la caméra de l'appareil, au microphone, aux privilèges d'administrateur et à d'autres paramètres généralement protégés par le cadre de transparence, de consentement et de contrôle de macOS. Dans ce cas, la charge utile Geacon a communiqué avec un serveur Cobalt Strike C2 connu avec une adresse IP basée au Japon.
"Ce n'est pas la première fois que nous voyons un cheval de Troie se faire passer pour SecureLink avec un cadre d'attaque open source intégré", a déclaré SentinelOne. Le fournisseur de sécurité a souligné sa découverte en septembre dernier d'un cadre d'attaque open source pour macOS appelé Sliver intégré avec un faux SecureLink comme autre exemple. "[C'est] un rappel à tous que les Mac d'entreprise sont désormais largement ciblés par une variété d'acteurs malveillants", a déclaré SentinelOne.
Intérêt soudain
Les attaquants utilisent depuis longtemps Cobalt Strike pour une variété d'activités post-exploit malveillantes sur les systèmes Windows, notamment pour établir la commande et le contrôle, le mouvement latéral, la génération de charge utile et la livraison d'exploit. Il y a eu des cas où des attaquants ont parfois utilisé Cobalt Strike pour cibler macOS également. Un exemple est une attaque de typosquattage l'année dernière où un acteur malveillant a tenté de déployer Cobalt Strike sur les systèmes Windows, Linux et macOS en télécharger un paquet malveillant appelé "pymafka" au registre PyPI.
Dans d'autres cas, les attaquants ont également utilisé un outil d'équipe rouge axé sur macOS appelé Mythic dans le cadre de leurs chaînes d'attaque.
L'activité impliquant Geacon elle-même a commencé peu de temps après qu'un chercheur chinois anonyme utilisant le pseudo "z3ratu1" ait publié deux fourches Geacon en octobre dernier - l'une privée et probablement à vendre appelée "geacon_pro" et l'autre publique, appelée geacon-plus. La version pro comprend des fonctionnalités supplémentaires telles que le contournement antivirus et les capacités anti-kill, explique Tom Hegel, chercheur principal sur les menaces chez SentinelOne.
Il attribue l'intérêt soudain de l'attaquant pour Geacon à un blog publié par z3ratu1 décrivant les deux fourches et ses tentatives de commercialisation de son travail. Le projet Geacon original lui-même était en grande partie destiné à l'analyse de protocole et à des fins d'ingénierie inverse, dit-il.
Attaques Mac
L'utilisation malveillante croissante de Geacon s'inscrit dans un schéma plus large d'intérêt croissant des attaquants pour les systèmes macOS.
Plus tôt cette année, des chercheurs d'Uptycs ont fait état d'un nouvel échantillon de malware pour Mac surnommé "MacStealer" qui, conformément à son nom, a volé des documents, des données de trousseau iCloud, des cookies de navigateur et d'autres données d'utilisateurs Apple. En avril, les opérateurs de "Lockbit" sont devenus le premier acteur majeur du ransomware à développer une version Mac de leurs logiciels malveillants, ouvrant la voie à d'autres à suivre. Et l'année dernière, le célèbre groupe nord-coréen Lazarus est devenu l'un des premiers groupes connus soutenus par l'État à commencer à cibler les Mac Apple.
SentinelOne a publié un ensemble d'indicateurs pour aider les organisations à identifier les charges utiles Geacon malveillantes.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
- La source: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :possède
- :est
- :ne pas
- :où
- $UP
- 11
- a
- accès
- activités
- activité
- acteurs
- Supplémentaire
- propos
- Après
- depuis
- Tous
- aussi
- parmi
- an
- selon une analyse de l’Université de Princeton
- ainsi que les
- Témoignages
- Une autre
- appli
- paru
- Apple
- Application
- Avril
- architecture
- SONT
- AS
- At
- attaquer
- tentative
- Tentatives
- Automatisation
- basé
- BE
- est devenu
- devenez
- était
- before
- va
- Blog
- plus large
- navigateur
- cookies du navigateur
- construit
- by
- appelé
- appareil photo
- CAN
- capacités
- Chaînes
- chinois
- communiqué
- Communications
- consentement
- contient
- des bactéries
- biscuits
- données
- page de livraison.
- déployer
- déployer
- Déterminer
- dispositif
- découvert
- découverte
- affiche
- INSTITUTIONNELS
- download
- téléchargements
- doublé
- non plus
- intégré
- chiffrement
- ENGINEERING
- Entreprise
- établissement
- Ether (ETH)
- exemple
- Exploiter
- faux
- Fonctionnalités:
- few
- Prénom
- première fois
- concentré
- suivre
- Pour
- Forks
- trouvé
- quatre
- Framework
- de
- fonctions
- plus
- génération
- GitHub
- subvention
- Réservation de groupe
- Groupes
- Croissance
- ait eu
- manipuler
- Vous avez
- he
- vous aider
- aide
- sa
- HTTPS
- identifier
- la mise en oeuvre
- in
- inclut
- Y compris
- Indicateurs
- individuel
- instance
- Intel
- intérêt
- IP
- IP dédiée
- IT
- SES
- lui-même
- Japon
- jpg
- en gardant
- connu
- Corée
- principalement
- Nom de famille
- L'année dernière
- Lazare
- Groupe Lazarus
- légitime
- comme
- Probable
- linux
- logique
- Location
- mac
- macos
- majeur
- malware
- Marché
- microphone
- mois
- mouvement
- beaucoup
- multitude
- prénom
- Nommé
- réseau et
- Nouveauté
- Nord
- Corée du Nord
- célèbre
- maintenant
- octobre
- of
- on
- ONE
- uniquement
- open source
- opérateurs
- or
- organisations
- original
- Autre
- Autres
- ande
- paquet
- partie
- particulier
- passé
- Patron de Couture
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- posté
- précédent
- Privé
- privilèges
- Pro
- Projet
- protégé
- protocole
- public
- des fins
- radar
- ransomware
- récent
- vous inscrire
- en relation
- libéré
- resté
- Signalé
- conditions
- chercheur
- chercheurs
- CV
- inverser
- pour le running
- s
- Saïd
- SOLDE
- même
- dit
- Deuxièmement
- sécurité
- vu
- supérieur
- SentinelleUn
- Septembre
- set
- mise
- Paramétres
- plusieurs
- Peu de temps
- montré
- Silicium
- So
- quelques
- groupe de neurones
- repérage
- Étape
- j'ai commencé
- a volé
- grève
- soumis
- tel
- soudain
- combustion propre
- Système
- Target
- des campagnes marketing ciblées,
- ciblage
- tâches
- qui
- Les
- leur
- Là.
- l'ont
- this
- cette semaine
- cette année
- menace
- acteurs de la menace
- fiable
- titré
- à
- outil
- Transparence
- Trojan
- deux
- typiquement
- sous
- contrairement à
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- en utilisant
- variété
- vendeur
- version
- était
- Façon..
- we
- semaine
- WELL
- ont été
- tout en
- largement
- fenêtres
- comprenant
- activités principales
- an
- années
- zéphyrnet