Avviso: gli attori delle minacce stanno ora implementando un'implementazione in linguaggio Go di Cobalt Strike chiamata Geacon che è emersa per la prima volta su GitHub quattro anni fa ed era rimasta in gran parte sotto il radar.
Stanno usando lo strumento di red-teaming e di simulazione di attacco per prendere di mira i sistemi macOS più o meno nello stesso modo in cui hanno usato Cobalt Strike per attività post-exploit su piattaforme Windows negli ultimi anni.
Ricercatori di sicurezza presso SentinelOne segnalato l'attività questa settimana dopo aver individuato diversi payload Geacon apparsi su VirusTotal negli ultimi mesi. L'analisi di SentinelOne dei campioni ha mostrato che alcuni erano probabilmente correlati a legittime esercitazioni del team rosso aziendale, mentre altri sembravano essere artefatti di attività dannose.
Un campione dannoso inviato a VirusTotal il 5 aprile è un'applet AppleScript denominata "Xu Yiqing's Resume_20230320.app" che scarica un payload Geacon non firmato da un server dannoso con un indirizzo IP basato in Cina.
SentinelOne ha scoperto che l'applicazione è compilata per sistemi macOS in esecuzione su silicio Apple o Intel. L'applet contiene la logica che aiuta a determinare l'architettura di un particolare sistema macOS in modo che possa scaricare il payload Geacon specifico per quel dispositivo. Lo stesso binario Geacon compilato contiene un PDF incorporato che mostra prima un curriculum per un individuo di nome Xu Yiqing prima di inviare un beacon al suo server di comando e controllo (C2).
"Il binario Geacon compilato ha una moltitudine di funzioni per attività come comunicazioni di rete, crittografia, decrittografia, download di ulteriori payload ed esfiltrazione di dati", ha affermato SentinelOne.
In un altro caso, SentinelOne ha scoperto un payload Geacon incorporato in una versione fasulla dell'applicazione di supporto remoto aziendale SecureLink. Il payload è apparso su VirusTotal l'11 aprile e ha preso di mira solo i sistemi macOS basati su Intel. A differenza del precedente esempio di Geacon, SentinelOne ha riscontrato che il secondo è un'applicazione essenziale e non firmata, probabilmente creata con uno strumento automatizzato. L'app richiedeva all'utente di concedere l'accesso alla fotocamera del dispositivo, al microfono, ai privilegi di amministratore e ad altre impostazioni generalmente protette dal framework Transparency, Consent, and Control di macOS. In questo caso, il payload Geacon comunicava con un noto server Cobalt Strike C2 con un indirizzo IP basato in Giappone.
"Non è la prima volta che vediamo un trojan mascherato da SecureLink con un framework di attacco open source integrato", ha affermato SentinelOne. Il fornitore di sicurezza ha indicato la sua scoperta lo scorso settembre di un framework di attacco open source per macOS chiamato Sliver incorporato con un falso SecureLink come altro esempio. "[È] un promemoria per tutti che i Mac aziendali sono ora ampiamente presi di mira da una varietà di attori delle minacce", ha affermato SentinelOne.
Interesse improvviso
Gli aggressori utilizzano da tempo Cobalt Strike per una serie di attività dannose post-exploit sui sistemi Windows, tra cui stabilire comandi e controlli, movimenti laterali, generazione di payload e distribuzione di exploit. Ci sono stati casi in cui gli aggressori hanno usato occasionalmente Cobalt Strike anche per prendere di mira macOS. Un esempio è un attacco di typosquatting dell'anno scorso in cui un attore di minacce ha tentato di distribuire Cobalt Strike su sistemi Windows, Linux e macOS caricamento di un pacchetto dannoso soprannominato "pymafka" al registro PyPI.
In altri casi, gli aggressori hanno anche utilizzato uno strumento di red-teaming focalizzato su macOS chiamato Mythic come parte delle loro catene di attacco.
L'attività che coinvolge lo stesso Geacon è iniziata poco dopo che un anonimo ricercatore cinese che utilizzava l'handle "z3ratu1" ha rilasciato due fork Geacon lo scorso ottobre: uno privato e probabilmente in vendita chiamato "geacon_pro" e l'altro pubblico, chiamato geacon-plus. La versione pro include alcune funzionalità aggiuntive come il bypass antivirus e le funzionalità anti-kill, afferma Tom Hegel, ricercatore senior sulle minacce presso SentinelOne.
Attribuisce l'improvviso interesse dell'attaccante per Geacon a un blog che z3ratu1 ha pubblicato descrivendo i due fork e i suoi tentativi di commercializzare il suo lavoro. Lo stesso progetto Geacon originale era in gran parte per l'analisi del protocollo e per scopi di reverse engineering, dice.
Mac Attacchi
Il crescente uso dannoso di Geacon si adatta a un modello più ampio di crescente interesse degli aggressori nei confronti dei sistemi macOS.
All'inizio di quest'anno, i ricercatori di Uptycs hanno riferito di a nuovo campione di malware per Mac soprannominato "MacStealer" che, in linea con il suo nome, ha rubato documenti, dati del portachiavi iCloud, cookie del browser e altri dati dagli utenti Apple. Ad aprile, gli operatori di "Lockbit" sono diventati il primo grande attore di ransomware a farlo sviluppare una versione per Mac del loro malware, ponendo le basi affinché altri lo seguano. E l'anno scorso, il famigerato gruppo Lazarus della Corea del Nord è diventato uno dei primi gruppi sostenuti dallo stato a farlo iniziare a prendere di mira i Mac Apple.
SentinelOne ha rilasciato una serie di indicatori per aiutare le organizzazioni a identificare i payload Geacon dannosi.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :ha
- :È
- :non
- :Dove
- $ SU
- 11
- a
- accesso
- attività
- attività
- attori
- aggiuntivo
- indirizzo
- Dopo shavasana, sedersi in silenzio; saluti;
- fa
- Tutti
- anche
- tra
- an
- .
- ed
- Anonimo
- Un altro
- App
- apparso
- Apple
- Applicazioni
- Aprile
- architettura
- SONO
- AS
- At
- attacco
- tentato
- Tentativi
- Automatizzata
- basato
- BE
- è diventato
- diventare
- stato
- prima
- essendo
- Blog
- più ampia
- del browser
- cookie del browser
- costruito
- by
- detto
- stanza
- Materiale
- funzionalità
- Catene
- Cinese
- comunicato
- Comunicazioni
- consenso
- contiene
- di controllo
- Cookies
- dati
- consegna
- schierare
- distribuzione
- Determinare
- dispositivo
- scoperto
- scoperta
- display
- documenti
- scaricare
- download
- soprannominato
- o
- incorporato
- crittografia
- Ingegneria
- Impresa
- stabilire
- Etere (ETH)
- esempio
- Sfruttare
- falso
- Caratteristiche
- pochi
- Nome
- prima volta
- concentrato
- seguire
- Nel
- forchette
- essere trovato
- quattro
- Contesto
- da
- funzioni
- ulteriormente
- ELETTRICA
- GitHub
- concedere
- Gruppo
- Gruppo
- Crescita
- ha avuto
- maniglia
- Avere
- he
- Aiuto
- aiuta
- il suo
- HTTPS
- identificare
- implementazione
- in
- inclusi
- Compreso
- individuale
- esempio
- Intel
- interesse
- IP
- Indirizzo IP
- IT
- SUO
- stessa
- Giappone
- jpg
- conservazione
- conosciuto
- Corea
- maggiormente
- Cognome
- L'anno scorso
- Lazarus
- Gruppo Lazzaro
- legittimo
- piace
- probabile
- linux
- logica
- Lunghi
- Mac
- macos
- maggiore
- il malware
- Rappresentanza
- microfono
- mese
- movimento
- molti
- moltitudine
- Nome
- Detto
- Rete
- New
- Nord
- Corea del nord
- famigerato
- adesso
- ottobre
- of
- on
- ONE
- esclusivamente
- open source
- Operatori
- or
- organizzazioni
- i
- Altro
- Altri
- su
- pacchetto
- parte
- particolare
- passato
- Cartamodello
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- postato
- precedente
- un bagno
- privilegi
- Pro
- progetto
- protetta
- protocollo
- la percezione
- fini
- radar
- ransomware
- recente
- registro
- relazionato
- rilasciato
- è rimasta
- Segnalati
- necessario
- ricercatore
- ricercatori
- curriculum vitae
- invertire
- running
- s
- Suddetto
- vendita
- stesso
- dice
- Secondo
- problemi di
- visto
- anziano
- Sentinella Uno
- Settembre
- set
- regolazione
- impostazioni
- alcuni
- In breve
- ha mostrato
- Silicio
- So
- alcuni
- specifico
- smacchiatura
- Stage
- iniziato
- stola
- sciopero
- presentata
- tale
- improvviso
- sistema
- SISTEMI DI TRATTAMENTO
- Target
- mirata
- mira
- task
- che
- I
- loro
- Là.
- di
- questo
- questa settimana
- quest'anno
- minaccia
- attori della minaccia
- tempo
- titolato
- a
- Trasparenza
- Trojan
- seconda
- tipicamente
- per
- a differenza di
- uso
- utilizzato
- Utente
- utenti
- utilizzando
- varietà
- venditore
- versione
- Prima
- Modo..
- we
- settimana
- WELL
- sono stati
- while
- ampiamente
- finestre
- con
- Lavora
- anno
- anni
- zefiro