Perhatian: aktor ancaman sekarang menerapkan implementasi Cobalt Strike dalam bahasa Go yang disebut Geacon yang pertama kali muncul di GitHub empat tahun lalu dan sebagian besar tetap berada di bawah radar.
Mereka menggunakan alat red-teaming dan attack-simulation untuk menargetkan sistem macOS dengan cara yang sama seperti mereka menggunakan Cobalt Strike untuk aktivitas pasca-eksploitasi pada platform Windows beberapa tahun terakhir.
Peneliti keamanan di SentinelOne melaporkan kegiatan tersebut minggu ini setelah melihat beberapa muatan Geacon muncul di VirusTotal dalam beberapa bulan terakhir. Analisis sampel SentinelOne menunjukkan beberapa kemungkinan terkait dengan latihan tim merah perusahaan yang sah, sementara yang lain tampaknya merupakan artefak aktivitas jahat.
Salah satu sampel berbahaya yang dikirimkan ke VirusTotal pada 5 April adalah applet AppleScript berjudul “Xu Yiqing's Resume_20230320.app” yang mengunduh payload Geacon yang tidak ditandatangani dari server berbahaya dengan alamat IP yang berbasis di China.
SentinelOne menemukan bahwa aplikasi tersebut dikompilasi untuk sistem macOS yang berjalan pada silikon Apple atau Intel. Applet berisi logika yang membantunya menentukan arsitektur sistem macOS tertentu sehingga dapat mengunduh muatan Geacon khusus untuk perangkat itu. Biner Geacon yang dikompilasi itu sendiri berisi PDF tersemat yang pertama-tama menampilkan resume untuk seseorang bernama Xu Yiqing sebelum mengarahkan ke server perintah dan kontrol (C2).
“Biner Geacon yang dikompilasi memiliki banyak fungsi untuk tugas-tugas seperti komunikasi jaringan, enkripsi, dekripsi, mengunduh muatan lebih lanjut, dan mengekstraksi data,” kata SentinelOne.
Dalam contoh lain, SentinelOne menemukan payload Geacon yang disematkan dalam versi palsu aplikasi dukungan jarak jauh perusahaan SecureLink. Payload muncul di VirusTotal pada 11 April dan hanya menargetkan sistem macOS berbasis Intel. Berbeda dengan sampel Geacon sebelumnya, SentinelOne menemukan yang kedua sebagai aplikasi tanpa tulang, tanpa tanda tangan yang kemungkinan dibuat dengan alat otomatis. Aplikasi tersebut mengharuskan pengguna untuk memberikan akses ke kamera perangkat, mikrofon, hak istimewa administrator, dan pengaturan lain yang biasanya dilindungi di bawah kerangka kerja Transparansi, Izin, dan Kontrol macOS. Dalam hal ini, muatan Geacon berkomunikasi dengan server Cobalt Strike C2 yang dikenal dengan alamat IP yang berbasis di Jepang.
“Ini bukan pertama kalinya kami melihat Trojan menyamar sebagai SecureLink dengan kerangka serangan sumber terbuka yang disematkan,” kata SentinelOne. Vendor keamanan menunjuk pada penemuannya September lalu tentang kerangka serangan sumber terbuka untuk macOS yang disebut Sliver yang disematkan dengan SecureLink palsu sebagai contoh lain. “[Ini] pengingat untuk semua bahwa Mac perusahaan sekarang menjadi sasaran luas oleh berbagai pelaku ancaman,” kata SentinelOne.
Minat Mendadak
Penyerang telah lama menggunakan Cobalt Strike untuk berbagai aktivitas berbahaya pasca-eksploitasi pada sistem Windows termasuk untuk menetapkan perintah-dan-kontrol, pergerakan lateral, pembuatan muatan, dan pengiriman eksploit. Ada beberapa kasus di mana penyerang terkadang menggunakan Cobalt Strike untuk menargetkan macOS juga. Salah satu contohnya adalah serangan salah ketik tahun lalu di mana aktor ancaman mencoba menerapkan Cobalt Strike pada sistem Windows, Linux, dan macOS dengan mengunggah paket berbahaya yang dijuluki "pymafka" ke daftar PyPI.
Dalam kasus lain, penyerang juga menggunakan alat tim merah yang berfokus pada macOS yang disebut Mythic sebagai bagian dari rantai serangan mereka.
Aktivitas yang melibatkan Geacon sendiri dimulai tak lama setelah seorang peneliti Cina anonim menggunakan pegangan "z3ratu1" merilis dua garpu Geacon Oktober lalu - satu pribadi dan kemungkinan untuk dijual disebut "geacon_pro" dan publik lainnya, disebut geacon-plus. Versi pro menyertakan beberapa fitur tambahan seperti anti-virus bypassing dan kemampuan anti-kill, kata Tom Hegel, peneliti ancaman senior di SentinelOne.
Dia menganggap minat penyerang tiba-tiba di Geacon ke blog yang diposting z3ratu1 yang menjelaskan dua garpu dan upayanya untuk memasarkan karyanya. Proyek Geacon asli itu sendiri sebagian besar untuk analisis protokol dan tujuan rekayasa balik, katanya.
Serangan Mac
Meningkatnya penggunaan berbahaya dari Geacon cocok dengan pola yang lebih luas dari meningkatnya minat penyerang pada sistem macOS.
Awal tahun ini, para peneliti di Uptycs melaporkan a sampel malware Mac baru yang baru dijuluki "MacStealer" yang, sesuai dengan namanya, mencuri dokumen, data gantungan kunci iCloud, cookie browser, dan data lain dari pengguna Apple. Pada bulan April, operator "Lockbit" menjadi aktor ransomware besar pertama yang melakukannya mengembangkan versi Mac malware mereka, menyiapkan panggung untuk diikuti orang lain. Dan tahun lalu, Grup Lazarus Korea Utara yang terkenal menjadi salah satu grup yang didukung negara pertama yang diketahui mulai menargetkan Apple Mac.
SentinelOne telah merilis serangkaian indikator untuk membantu organisasi mengidentifikasi payload Geacon berbahaya.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
- Sumber: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 11
- a
- mengakses
- kegiatan
- kegiatan
- aktor
- Tambahan
- alamat
- Setelah
- silam
- Semua
- juga
- antara
- an
- analisis
- dan
- Anonim
- Lain
- aplikasi
- Muncul
- Apple
- Aplikasi
- April
- arsitektur
- ADALAH
- AS
- At
- menyerang
- berusaha
- Mencoba
- Otomatis
- berdasarkan
- BE
- menjadi
- menjadi
- menjadi
- sebelum
- makhluk
- Blog
- lebih luas
- Browser
- cookie browser
- dibangun di
- by
- bernama
- kamar
- CAN
- kemampuan
- rantai
- Cina
- dikomunikasikan
- komunikasi
- persetujuan
- mengandung
- kontrol
- kue
- data
- pengiriman
- menyebarkan
- penggelaran
- Menentukan
- alat
- ditemukan
- penemuan
- menampilkan
- dokumen
- Download
- download
- dijuluki
- antara
- tertanam
- enkripsi
- Teknik
- Enterprise
- membangun
- Eter (ETH)
- contoh
- Mengeksploitasi
- gadungan
- Fitur
- beberapa
- Pertama
- pertama kali
- terfokus
- mengikuti
- Untuk
- Forks
- ditemukan
- empat
- Kerangka
- dari
- fungsi
- lebih lanjut
- generasi
- GitHub
- memberikan
- Kelompok
- Grup
- Pertumbuhan
- memiliki
- menangani
- Memiliki
- he
- membantu
- membantu
- -nya
- HTTPS
- mengenali
- implementasi
- in
- termasuk
- Termasuk
- indikator
- sendiri-sendiri
- contoh
- Intel
- bunga
- IP
- Alamat IP
- IT
- NYA
- Diri
- Jepang
- jpg
- pemeliharaan
- dikenal
- Korea
- sebagian besar
- Terakhir
- Tahun lalu
- Lazarus
- Grup Lazarus
- sah
- 'like'
- Mungkin
- linux
- logika
- Panjang
- mac
- macos
- utama
- malware
- Pasar
- mikropon
- bulan
- gerakan
- banyak
- banyaknya
- nama
- Bernama
- jaringan
- New
- utara
- Korea Utara
- terkenal jahat
- sekarang
- Oktober
- of
- on
- ONE
- hanya
- open source
- operator
- or
- organisasi
- asli
- Lainnya
- Lainnya
- di luar
- paket
- bagian
- tertentu
- lalu
- pola
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- diposting
- sebelumnya
- swasta
- hak
- per
- proyek
- terlindung
- protokol
- publik
- tujuan
- radar
- ransomware
- baru
- daftar
- terkait
- dirilis
- tetap
- Dilaporkan
- wajib
- peneliti
- peneliti
- lanjut
- membalikkan
- berjalan
- s
- Tersebut
- penjualan
- sama
- mengatakan
- Kedua
- keamanan
- terlihat
- senior
- SentinelSatu
- September
- set
- pengaturan
- pengaturan
- beberapa
- Segera
- menunjukkan
- Silikon
- So
- beberapa
- tertentu
- bercak
- Tahap
- mulai
- mencuri
- menyerang
- disampaikan
- seperti itu
- tiba-tiba
- sistem
- sistem
- target
- ditargetkan
- penargetan
- tugas
- bahwa
- Grafik
- mereka
- Sana.
- mereka
- ini
- minggu ini
- tahun ini
- ancaman
- aktor ancaman
- waktu
- berjudul
- untuk
- alat
- Transparansi
- Trojan
- dua
- khas
- bawah
- tidak seperti
- menggunakan
- bekas
- Pengguna
- Pengguna
- menggunakan
- variasi
- penjaja
- versi
- adalah
- Cara..
- we
- minggu
- BAIK
- adalah
- sementara
- sangat
- Windows
- dengan
- Kerja
- tahun
- tahun
- zephyrnet.dll