Figyelem: a fenyegetések szereplői most a Cobalt Strike Geacon nevű Go-nyelvű megvalósítását telepítik, amely négy évvel ezelőtt jelent meg először a GitHubon, és nagyrészt a radar alatt maradt.
A red-teaming és a támadás-szimulációs eszközt használják a macOS-rendszerek megcélzására, ugyanúgy, ahogy az elmúlt években a Cobalt Strike-ot használták a Windows platformokon végzett kizsákmányolás utáni tevékenységekhez.
A SentinelOne biztonsági kutatói beszámolt a tevékenységről ezen a héten, miután az elmúlt hónapokban több Geacon rakomány is megjelent a VirusTotalon. A SentinelOne a minták elemzése azt mutatta, hogy egyesek valószínűleg törvényes vállalati red-team gyakorlatokhoz kapcsolódnak, míg mások rosszindulatú tevékenység műtermékeinek tűntek.
Az egyik rosszindulatú minta, amelyet április 5-én küldtek be a VirusTotalnak, egy „Xu Yiqing's Resume_20230320.app” nevű AppleScript kisalkalmazás, amely aláíratlan Geacon rakományt tölt le egy rosszindulatú szerverről, kínai IP-címmel.
A SentinelOne megállapította, hogy az alkalmazás Apple vagy Intel szilícium alapú macOS rendszerekre van fordítva. Az applet olyan logikát tartalmaz, amely segít meghatározni egy adott macOS rendszer architektúráját, így letöltheti az adott eszközhöz tartozó Geacon hasznos adatot. Maga a lefordított Geacon bináris egy beágyazott PDF-fájlt tartalmaz, amely először egy Xu Yiqing nevű személy önéletrajzát jeleníti meg, mielőtt kiküldené a vezérlő és vezérlő (C2) szerverére.
"A lefordított Geacon bináris számos funkcióval rendelkezik olyan feladatokhoz, mint a hálózati kommunikáció, a titkosítás, a visszafejtés, a további hasznos adatok letöltése és az adatok kiszűrése" - mondta a SentinelOne.
Egy másik esetben a SentinelOne a SecureLink vállalati távoli támogatási alkalmazás hamis verziójába ágyazott Geacon rakományt fedezett fel. A rakomány április 11-én jelent meg a VirusTotalban, és csak az Intel-alapú macOS rendszereket célozta meg. Az előző Geacon mintától eltérően a SentinelOne a másodikat egy csupasz, aláírás nélküli alkalmazásnak találta, amelyet valószínűleg automatizált eszközzel készítettek. Az alkalmazás megkövetelte a felhasználótól, hogy hozzáférést biztosítson az eszköz kamerájához, mikrofonjához, rendszergazdai jogosultságokhoz és egyéb beállításokhoz, amelyeket általában a macOS átláthatósági, beleegyezési és vezérlési keretrendszere véd. Ebben az esetben a Geacon hasznos teher kommunikált egy ismert Cobalt Strike C2 szerverrel, amelynek IP-címe Japánban található.
„Nem ez az első alkalom, hogy egy trójai SecureLink-nek álcázva magát egy beágyazott nyílt forráskódú támadási keretrendszerrel” – mondta a SentinelOne. A biztonsági gyártó rámutatott arra, hogy tavaly szeptemberben fedezte fel a Sliver nevű nyílt forráskódú macOS támadási keretrendszert, amely egy másik példaként egy hamis SecureLink-et tartalmaz. „[Emlékeztetőül] mindenkinek, hogy a vállalati Mac-eket manapság széles körben veszik célba számos fenyegető szereplő” – mondta a SentinelOne.
Hirtelen érdeklődés
A támadók régóta használják a Cobalt Strike-ot számos rosszindulatú kizsákmányolás utáni tevékenységhez a Windows rendszereken, ideértve a parancs- és vezérlés létrehozását, az oldalirányú mozgást, a hasznos teher generálását és a kihasználás kézbesítését. Voltak olyan esetek, amikor a támadók időnként a Cobalt Strike-ot használták a macOS megcélzására. Példa erre egy tavalyi gépelési támadás, amikor egy fenyegetőző megpróbálta telepíteni a Cobalt Strike-ot Windows, Linux és macOS rendszereken. „pymafka” nevű rosszindulatú csomag feltöltése a PyPI regiszterbe.
Más esetekben a támadók támadási láncaik részeként a Mythic nevű, macOS-re összpontosító red-teaming eszközt is használták.
A Geacont magában foglaló tevékenység nem sokkal azután kezdődött, hogy egy névtelen kínai kutató a „z3ratu1” fogantyút használva tavaly októberben kiadott két Geacon villát – egy privát és valószínűleg eladásra kínált „geacon_pro” néven, a másik pedig nyilvános, a geacon-plus. A profi verzió néhány további funkciót is tartalmaz, mint például a vírusok megkerülését és az ölés elleni képességeket – mondja Tom Hegel, a SentinelOne vezető fenyegetéskutatója.
A Geacon iránti hirtelen támadó érdeklődést a z3ratu1 által közzétett blognak tulajdonítja, amelyben leírja a két villát és a munkája értékesítésére tett kísérleteit. Maga az eredeti Geacon projekt nagyrészt protokollelemzési és visszafejtési célokat szolgált, mondja.
Mac támadások
A Geacon növekvő rosszindulatú használata beleillik a macOS rendszerek iránti növekvő támadói érdeklődés szélesebb mintájába.
Az év elején az Uptycs kutatói arról számoltak be, hogy a új, Mac rosszindulatú programminta „MacStealer” névre keresztelték, amely a nevével összhangban dokumentumokat, iCloud kulcstartó adatokat, böngésző cookie-kat és egyéb adatokat lopott el az Apple felhasználóktól. Áprilisban a „Lockbit” üzemeltetői lettek az első jelentős ransomware szereplők fejleszteni egy Mac verziót rosszindulatú programjaikról, megalapozva a terepet mások számára. Tavaly pedig Észak-Korea hírhedt Lazarus Csoportja az első ismert államilag támogatott csoportok közé került kezdje meg célozni az Apple Mac-eket.
A SentinelOne kiadott egy sor mutatót, amelyek segítenek a szervezeteknek azonosítani a rosszindulatú Geacon rakományokat.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
- Forrás: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :van
- :is
- :nem
- :ahol
- $ UP
- 11
- a
- hozzáférés
- tevékenységek
- tevékenység
- szereplők
- További
- cím
- Után
- Augusztus
- Minden termék
- Is
- között
- an
- elemzés
- és a
- Névtelenül
- Másik
- app
- megjelent
- Apple
- Alkalmazás
- április
- építészet
- VANNAK
- AS
- At
- támadás
- megkísérelt
- Kísérletek
- Automatizált
- alapján
- BE
- lett
- válik
- óta
- előtt
- hogy
- Blog
- tágabb
- böngésző
- böngésző sütik
- épült
- by
- hívott
- szoba
- TUD
- képességek
- láncok
- kínai
- közölni
- távközlés
- beleegyezés
- tartalmaz
- ellenőrzés
- keksz
- dátum
- kézbesítés
- telepíteni
- bevezetéséhez
- Határozzuk meg
- eszköz
- felfedezett
- felfedezés
- kijelzők
- dokumentumok
- letöltés
- letöltések
- szinkronizált
- bármelyik
- beágyazott
- titkosítás
- Mérnöki
- Vállalkozás
- létrehozó
- Eter (ETH)
- példa
- Exploit
- hamisítvány
- Jellemzők
- kevés
- vezetéknév
- első
- összpontosított
- következik
- A
- Forks
- talált
- négy
- Keretrendszer
- ból ből
- funkciók
- további
- generáció
- GitHub
- biztosít
- Csoport
- Csoportok
- Növekvő
- kellett
- fogantyú
- Legyen
- he
- segít
- segít
- övé
- HTTPS
- azonosítani
- végrehajtás
- in
- magában foglalja a
- Beleértve
- mutatók
- egyéni
- példa
- Intel
- kamat
- IP
- IP-cím
- IT
- ITS
- maga
- Japán
- jpg
- tartás
- ismert
- korea
- nagymértékben
- keresztnév
- Tavaly
- Lázár
- Lazarus csoport
- jogos
- mint
- Valószínű
- linux
- logika
- Hosszú
- esőkabát
- MacOS
- fontos
- malware
- piacára
- mikrofon
- hónap
- mozgalom
- sok
- sokaság
- név
- Nevezett
- hálózat
- Új
- Északi
- Észak Kórea
- hirhedt
- Most
- október
- of
- on
- ONE
- csak
- nyílt forráskódú
- üzemeltetők
- or
- szervezetek
- eredeti
- Más
- Egyéb
- ki
- csomag
- rész
- különös
- múlt
- Mintás
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- kiküldött
- előző
- magán
- kiváltságok
- per
- program
- védett
- protokoll
- nyilvános
- célokra
- radar
- ransomware
- új
- Regisztráció
- összefüggő
- felszabaduló
- maradt
- Számolt
- kötelező
- kutató
- kutatók
- folytatás
- fordított
- futás
- s
- Mondott
- eladás
- azonos
- azt mondja,
- Második
- biztonság
- látott
- idősebb
- Sentinel One
- szeptember
- készlet
- beállítás
- beállítások
- számos
- Hamarosan
- kimutatta,
- Szilícium
- So
- néhány
- különleges
- felderítés
- Színpad
- kezdődött
- stóla
- sztrájk
- benyújtott
- ilyen
- hirtelen
- rendszer
- Systems
- cél
- célzott
- célzás
- feladatok
- hogy
- A
- azok
- Ott.
- ők
- ezt
- ezen a héten
- idén
- fenyegetés
- fenyegetés szereplői
- idő
- címmel
- nak nek
- szerszám
- Átláthatóság
- trójai
- kettő
- jellemzően
- alatt
- nem úgy mint
- használ
- használt
- használó
- Felhasználók
- segítségével
- fajta
- eladó
- változat
- volt
- Út..
- we
- hét
- JÓL
- voltak
- míg
- széles körben
- ablakok
- val vel
- Munka
- év
- év
- zephyrnet