注意: 脅威アクターは現在、Geacon と呼ばれる Cobalt Strike の Go 言語実装を展開しています。この実装は XNUMX 年前に初めて GitHub に登場し、ほとんど知られていませんでした。
彼らは、過去数年間 Windows プラットフォーム上でエクスプロイト後のアクティビティに Cobalt Strike を使用してきたのとほぼ同じ方法で、レッド チーム化および攻撃シミュレーション ツールを使用して macOS システムをターゲットにしています。
SentinelOne のセキュリティ研究者 活動を報告しました ここ数カ月間、VirusTotal に複数の Geacon ペイロードが出現していることを発見した後、今週に入りました。 SentinelOne によるサンプルの分析では、一部は正当な企業のレッドチーム演習に関連している可能性が高い一方、その他は悪意のある活動の成果物であると思われることが示されました。
5 月 20230320 日に VirusTotal に提出された悪意のあるサンプルの XNUMX つは、中国を拠点とする IP アドレスを持つ悪意のあるサーバーから未署名の Geacon ペイロードをダウンロードする「Xu Yiqing's Resume_XNUMX.app」というタイトルの AppleScript アプレットです。
SentinelOne は、このアプリケーションが Apple または Intel シリコンで実行される macOS システム用にコンパイルされていることを発見しました。 アプレットには、特定の macOS システムのアーキテクチャを決定して、そのデバイスに特定の Geacon ペイロードをダウンロードできるようにするロジックが含まれています。 コンパイルされた Geacon バイナリ自体には、コマンド アンド コントロール (C2) サーバーにビーコンを送信する前に、Xu Yiqing という名前の個人の履歴書が最初に表示される埋め込み PDF が含まれています。
「コンパイルされた Geacon バイナリには、ネットワーク通信、暗号化、復号化、さらなるペイロードのダウンロード、データの抽出などのタスクのための多数の機能があります」と SentinelOne は述べています。
別の例では、SentinelOne は、SecureLink エンタープライズ リモート サポート アプリケーションの偽バージョンに埋め込まれた Geacon ペイロードを発見しました。 このペイロードは 11 月 2 日に VirusTotal に登場し、Intel ベースの macOS システムのみをターゲットにしていました。 以前の Geacon サンプルとは異なり、SentinelOne は XNUMX 番目のサンプルが、おそらく自動ツールで構築された必要最小限の署名されていないアプリケーションであることを発見しました。 このアプリでは、ユーザーがデバイスのカメラ、マイク、管理者権限、および通常 macOS の透明性、同意、および制御フレームワークで保護されているその他の設定へのアクセスを許可する必要がありました。 この例では、Geacon ペイロードは、日本に拠点を置く IP アドレスを持つ既知の Cobalt Strike CXNUMX サーバーと通信しました。
「オープンソースの攻撃フレームワークを組み込んだSecureLinkを装ったトロイの木馬を確認したのはこれが初めてではない」とSentinelOneは述べた。 このセキュリティ ベンダーは、別の例として、偽の SecureLink が埋め込まれた Sliver と呼ばれる macOS 用のオープンソース攻撃フレームワークが昨年 XNUMX 月に発見されたことを指摘しました。 SentinelOne は、「エンタープライズ Mac が現在、さまざまな脅威アクターによって広範囲にターゲットにされていることを、皆さんに思い出させてくれます」と述べています。
突然の興味
攻撃者は、コマンド アンド コントロールの確立、横方向の移動、ペイロードの生成、エクスプロイトの配信など、Windows システム上でのさまざまな悪意のあるエクスプロイト後のアクティビティに Cobalt Strike を長い間使用してきました。 攻撃者が時折 Cobalt Strike を使用して macOS もターゲットにした例があります。 一例としては、昨年のタイポスクワッティング攻撃があります。この攻撃では、攻撃者が Windows、Linux、macOS システムに Cobalt Strike を導入しようとしました。 「pymafka」と呼ばれる悪意のあるパッケージをアップロードする PyPI レジスタにコピーします。
他の例では、攻撃者は攻撃チェーンの一部として Mythic と呼ばれる macOS に焦点を当てたレッドチーム ツールを使用しました。
Geacon 自体が関与する活動は、ハンドル名「z3ratu1」を使用する匿名の中国人研究者が昨年 XNUMX 月に XNUMX つの Geacon フォークをリリースした直後に始まりました。XNUMX つは「geacon_pro」と呼ばれる非公開で販売される可能性が高く、もう XNUMX つは geacon-plus と呼ばれる一般向けです。 SentinelOne の上級脅威研究者である Tom Hegel 氏によると、プロ版にはウイルス対策バイパスやキル対策機能などの追加機能がいくつか含まれています。
彼は、攻撃者が突然 Geacon に興味を持ったのは、z3ratu1 が投稿した XNUMX つのフォークと彼の作品を売り出そうとする試みについて説明したブログのせいだと考えています。 元の Geacon プロジェクト自体は主にプロトコル分析とリバース エンジニアリングを目的としていたと彼は言います。
マック攻撃
Geacon の悪意のある使用の増加は、macOS システムに対する攻撃者の関心の高まりというより広範なパターンに当てはまります。
今年の初めに、Uptycs の研究者らは次のことを報告しました。 斬新な新しい Mac マルウェアのサンプル 「MacStealer」と呼ばれるこの攻撃は、その名の通り、Apple ユーザーからドキュメント、iCloud キーチェーン データ、ブラウザの Cookie、その他のデータを盗みました。 XNUMX 月、「Lockbit」のオペレーターは、主要なランサムウェア攻撃者として初めて、 Mac版を開発する マルウェアを攻撃し、他の人が追随する準備を整えます。 そして昨年、北朝鮮の悪名高いラザロ・グループが、知られている限りでは初めて国家支援を受けたグループの一つとなった。 Apple Macをターゲットにし始める.
SentinelOne は、組織が悪意のある Geacon ペイロードを識別するのに役立つ一連のインジケーターをリリースしました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- PREIPO® を使用して PRE-IPO 企業の株式を売買します。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :持っている
- :は
- :not
- :どこ
- $UP
- 11
- a
- アクセス
- 活動
- アクティビティ
- 俳優
- NEW
- 住所
- 後
- 前
- すべて
- また
- 間で
- an
- 分析
- および
- 匿名の
- 別の
- アプリ
- 登場
- Apple
- 申し込み
- 4月
- 建築
- です
- AS
- At
- 攻撃
- 試みた
- 試み
- 自動化
- ベース
- BE
- になりました
- になる
- き
- さ
- ブログ
- より広い
- ブラウザ
- ブラウザのクッキー
- 内蔵
- by
- 呼ばれます
- カメラ
- 缶
- 機能
- チェーン
- 中国語
- 伝えた
- 通信部
- 同意
- 含まれています
- コントロール
- クッキー
- データ
- 配達
- 展開します
- 展開する
- 決定する
- デバイス
- 発見
- 発見
- ディスプレイ
- ドキュメント
- ダウンロード
- ダウンロード
- ダビングされた
- どちら
- 埋め込まれた
- 暗号化
- エンジニアリング
- Enterprise
- 確立
- エーテル(ETH)
- 例
- 悪用する
- 偽
- 特徴
- 少数の
- 名
- 初回
- 焦点を当て
- フォーク
- 発見
- 4
- フレームワーク
- から
- 機能
- さらに
- 世代
- GitHubの
- 助成金
- グループ
- グループの
- 成長
- 持っていました
- ハンドル
- 持ってる
- he
- 助けます
- ことができます
- 彼の
- HTTPS
- 識別する
- 実装
- in
- 含ま
- 含めて
- インジケータ
- 個人
- インテル
- 関心
- IP
- IPアドレス
- IT
- ITS
- 自体
- 日本
- JPG
- 保管
- 既知の
- 韓国
- 主として
- 姓
- 昨年
- ラザロ
- ラザログループ
- 正当な
- ような
- 可能性が高い
- linuxの
- ロジック
- 長い
- MAC
- MacOSの
- 主要な
- マルウェア
- 市場
- マイクロフォン
- ヶ月
- 運動
- ずっと
- 多数
- 名
- 名前付き
- ネットワーク
- 新作
- ノース
- 北朝鮮
- 悪名高いです
- 今
- 10月
- of
- on
- ONE
- の
- オープンソース
- 演算子
- or
- 組織
- オリジナル
- その他
- その他
- でる
- パッケージ
- 部
- 特定の
- 過去
- パターン
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 掲示
- 前
- プライベート
- 特権
- Pro
- プロジェクト
- 保護された
- 公共
- 目的
- レーダー
- ランサムウェア
- 最近
- 登録
- 関連する
- リリース
- 残った
- 報告
- の提出が必要です
- 研究者
- 研究者
- 履歴書
- 逆
- ランニング
- s
- 前記
- 塩
- 同じ
- 言う
- 二番
- セキュリティ
- 見て
- シニア
- センチネルワン
- 9月
- セッションに
- 設定
- 設定
- いくつかの
- まもなく
- 示されました
- シリコン
- So
- 一部
- 特定の
- スポッティング
- ステージ
- 開始
- ストール
- ストライキ
- 提出された
- そのような
- 突然の
- システム
- ターゲット
- 対象となります
- ターゲット
- タスク
- それ
- アプリ環境に合わせて
- そこ。
- 彼ら
- この
- 今週
- 今年
- 脅威
- 脅威アクター
- 時間
- タイトル
- 〜へ
- ツール
- 透明性
- トロイの
- 2
- 一般的に
- 下
- 異なり、
- つかいます
- 中古
- ユーザー
- users
- 多様
- ベンダー
- バージョン
- ました
- 仕方..
- we
- 週間
- WELL
- した
- while
- 広く
- ウィンドウズ
- 仕事
- 年
- 年
- ゼファーネット