Uwaga: cyberprzestępcy wdrażają teraz implementację Cobalt Strike w języku Go o nazwie Geacon, która po raz pierwszy pojawiła się na GitHub cztery lata temu i pozostawała w dużej mierze niezauważona.
Używają narzędzia red-teaming i narzędzia do symulacji ataków, aby atakować systemy macOS w podobny sposób, w jaki używali Cobalt Strike do działań po eksploitach na platformach Windows w ciągu ostatnich kilku lat.
Badacze bezpieczeństwa w SentinelOne zgłosił działalność w tym tygodniu po zauważeniu kilku ładunków Geacon pojawiających się na VirusTotal w ostatnich miesiącach. Analiza próbek przeprowadzona przez SentinelOne wykazała, że niektóre z nich były prawdopodobnie związane z legalnymi ćwiczeniami czerwonego zespołu przedsiębiorstwa, podczas gdy inne wydawały się być artefaktami złośliwej aktywności.
Jedna złośliwa próbka przesłana do VirusTotal 5 kwietnia to aplet AppleScript zatytułowany „Xu Yiqing's Resume_20230320.app”, który pobiera niepodpisany ładunek Geacon ze złośliwego serwera z adresem IP w Chinach.
SentinelOne stwierdził, że aplikacja jest skompilowana dla systemów macOS działających na procesorach Apple lub Intel. Aplet zawiera logikę, która pomaga mu określić architekturę konkretnego systemu macOS, aby mógł pobrać określony ładunek Geacon dla tego urządzenia. Sam skompilowany plik binarny Geacon zawiera osadzony plik PDF, który najpierw wyświetla życiorys osoby o imieniu Xu Yiqing przed wysłaniem na serwer dowodzenia i kontroli (C2).
„Skompilowany plik binarny Geacon ma wiele funkcji do zadań, takich jak komunikacja sieciowa, szyfrowanie, deszyfrowanie, pobieranie dalszych ładunków i eksfiltracja danych” – powiedział SentinelOne.
W innym przypadku SentinelOne wykrył ładunek Geacon osadzony w fałszywej wersji korporacyjnej aplikacji do zdalnego wsparcia SecureLink. Ładunek pojawił się w VirusTotal 11 kwietnia i był skierowany wyłącznie do systemów macOS opartych na procesorach Intel. W przeciwieństwie do poprzedniej próbki Geacon, SentinelOne stwierdził, że druga jest prostą, niepodpisaną aplikacją, prawdopodobnie zbudowaną za pomocą zautomatyzowanego narzędzia. Aplikacja wymagała od użytkownika przyznania dostępu do kamery urządzenia, mikrofonu, uprawnień administratora i innych ustawień zwykle chronionych w ramach struktury przejrzystości, zgody i kontroli systemu macOS. W tym przypadku ładunek Geacon komunikował się ze znanym serwerem Cobalt Strike C2 z adresem IP znajdującym się w Japonii.
„To nie pierwszy raz, kiedy widzimy trojana podszywającego się pod SecureLink z wbudowanym frameworkiem ataku typu open source” – powiedział SentinelOne. Dostawca zabezpieczeń jako kolejny przykład wskazał na odkrycie we wrześniu zeszłego roku struktury ataku typu open source dla systemu macOS o nazwie Sliver z fałszywą aplikacją SecureLink. „[To] przypomnienie dla wszystkich, że korporacyjne komputery Mac są obecnie szeroko atakowane przez różnych cyberprzestępców” – powiedział SentinelOne.
Nagłe zainteresowanie
Atakujący od dawna używają Cobalt Strike do różnych złośliwych działań po wykorzystaniu w systemach Windows, w tym do ustanowienia dowodzenia i kontroli, ruchu poprzecznego, generowania ładunku i dostarczania exploitów. Zdarzały się przypadki, w których osoby atakujące od czasu do czasu używały Cobalt Strike również do atakowania systemu macOS. Jednym z przykładów jest zeszłoroczny atak typusquatting, w którym ugrupowanie cyberprzestępcze próbowało wdrożyć Cobalt Strike w systemach Windows, Linux i macOS, przesyłanie złośliwego pakietu o nazwie „pymafka” do rejestru PyPI.
W innych przypadkach napastnicy wykorzystali również narzędzie do tworzenia czerwonych zespołów o nazwie Mythic, skupione na systemie macOS, jako część swoich łańcuchów ataków.
Działalność z udziałem samego Geacon rozpoczęła się wkrótce po tym, jak anonimowy chiński badacz używający uchwytu „z3ratu1” wypuścił dwa widelce Geacon w październiku ubiegłego roku – jeden prywatny i prawdopodobnie na sprzedaż o nazwie „geacon_pro”, a drugi publiczny o nazwie geacon-plus. Wersja pro zawiera kilka dodatkowych funkcji, takich jak omijanie wirusów i funkcje zapobiegające zabijaniu, mówi Tom Hegel, starszy badacz zagrożeń w SentinelOne.
Nagłe zainteresowanie atakujących Geaconem przypisuje blogowi, który opublikował z3ratu1, opisujący dwa rozwidlenia i jego próby promowania swojej pracy. Mówi, że sam oryginalny projekt Geacon był w dużej mierze przeznaczony do analizy protokołów i celów inżynierii wstecznej.
Ataki na Maca
Rosnące złośliwe wykorzystanie Geacon wpisuje się w szerszy schemat rosnącego zainteresowania hakerów systemami macOS.
Na początku tego roku badacze z Uptycs poinformowali o nowatorska nowa próbka złośliwego oprogramowania dla komputerów Mac nazwany „MacStealer”, który zgodnie ze swoją nazwą kradł dokumenty, dane pęku kluczy iCloud, pliki cookie przeglądarki i inne dane od użytkowników Apple. W kwietniu operatorzy „Lockbit” stali się pierwszym dużym aktorem ransomware, który zaatakował opracować wersję dla komputerów Mac złośliwego oprogramowania, przygotowując grunt pod naśladowanie innych. A w zeszłym roku ciesząca się złą sławą grupa Lazarus z Korei Północnej stała się jedną z pierwszych znanych grup wspieranych przez państwo zacząć kierować reklamy na komputery Apple Mac.
SentinelOne udostępnił zestaw wskaźników, które pomagają organizacjom identyfikować złośliwe ładunki Geacon.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Kupuj i sprzedawaj akcje spółek PRE-IPO z PREIPO®. Dostęp tutaj.
- Źródło: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 11
- a
- dostęp
- zajęcia
- działalność
- aktorzy
- Dodatkowy
- adres
- Po
- temu
- Wszystkie kategorie
- również
- wśród
- an
- analiza
- i
- Anonimowy
- Inne
- Aplikacja
- pojawił się
- Apple
- Zastosowanie
- kwiecień
- architektura
- SĄ
- AS
- At
- atakować
- próbę
- Próby
- zautomatyzowane
- na podstawie
- BE
- stał
- stają się
- być
- zanim
- jest
- Blog
- szerszy
- przeglądarka
- pliki cookie przeglądarki
- wybudowany
- by
- nazywa
- aparat fotograficzny
- CAN
- możliwości
- więzy
- chiński
- przekazane
- Komunikacja
- zgoda
- zawiera
- kontrola
- cookies
- dane
- dostawa
- rozwijać
- wdrażanie
- Ustalać
- urządzenie
- odkryty
- odkrycie
- wyświetlacze
- dokumenty
- pobieranie
- pliki do pobrania
- dubbingowane
- bądź
- osadzone
- szyfrowanie
- Inżynieria
- Enterprise
- ustanowienie
- Eter (ETH)
- przykład
- Wykorzystać
- imitacja
- Korzyści
- kilka
- i terminów, a
- pierwszy raz
- koncentruje
- obserwuj
- W razie zamówieenia projektu
- Widły
- znaleziono
- cztery
- Framework
- od
- Funkcje
- dalej
- generacja
- GitHub
- przyznać
- Zarządzanie
- Grupy
- Rozwój
- miał
- uchwyt
- Have
- he
- pomoc
- pomaga
- jego
- HTTPS
- zidentyfikować
- realizacja
- in
- obejmuje
- Włącznie z
- wskaźniki
- indywidualny
- przykład
- Intel
- odsetki
- IP
- Adres IP
- IT
- JEGO
- samo
- Japonia
- jpg
- konserwacja
- znany
- Korea
- w dużej mierze
- Nazwisko
- Ostatni rok
- Łazarz
- Grupa Lazarus
- prawowity
- lubić
- Prawdopodobnie
- linux
- logika
- długo
- mac
- MacOS
- poważny
- malware
- rynek
- mikrofon
- miesięcy
- ruch
- dużo
- wielość
- Nazwa
- O imieniu
- sieć
- Nowości
- Północ
- Korea Północna
- notoryczny
- już dziś
- październik
- of
- on
- ONE
- tylko
- open source
- operatorzy
- or
- organizacji
- oryginalny
- Inne
- Pozostałe
- na zewnątrz
- pakiet
- część
- szczególny
- Przeszłość
- Wzór
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- napisali
- poprzedni
- prywatny
- przywileje
- Pro
- projekt
- chroniony
- protokół
- publiczny
- cele
- radar
- ransomware
- niedawny
- zarejestrować
- związane z
- wydany
- pozostał
- Zgłoszone
- wymagany
- badacz
- Badacze
- Resume
- rewers
- bieganie
- s
- Powiedział
- sprzedaż
- taki sam
- mówią
- druga
- bezpieczeństwo
- widziany
- senior
- Strażnik Jeden
- wrzesień
- zestaw
- ustawienie
- w panelu ustawień
- kilka
- Wkrótce
- pokazał
- Krzem
- So
- kilka
- specyficzny
- plamienie
- STAGE
- rozpoczęty
- Ukradłem
- strajk
- składane
- taki
- nagły
- system
- systemy
- cel
- ukierunkowane
- kierowania
- zadania
- że
- Połączenia
- ich
- Tam.
- one
- to
- w tym tygodniu
- w tym roku
- groźba
- podmioty grożące
- czas
- pod tytulem
- do
- narzędzie
- Przezroczystość
- trojański
- drugiej
- zazwyczaj
- dla
- w odróżnieniu
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- różnorodność
- sprzedawca
- wersja
- była
- Droga..
- we
- tydzień
- DOBRZE
- były
- Podczas
- szeroko
- okna
- w
- Praca
- rok
- lat
- zefirnet