Atenție: actorii amenințărilor implementează acum o implementare în limba Go a lui Cobalt Strike numită Geacon, care a apărut pentru prima dată pe GitHub în urmă cu patru ani și a rămas în mare parte sub radar.
Ei folosesc instrumentul de formare în echipă și de simulare a atacurilor pentru a viza sistemele macOS în același mod în care au folosit Cobalt Strike pentru activitatea post-exploatare pe platformele Windows în ultimii câțiva ani.
Cercetători de securitate de la SentinelOne a raportat activitatea în această săptămână, după ce am observat mai multe încărcări utile Geacon care apar pe VirusTotal în ultimele luni. Analiza eșantioanelor efectuată de SentinelOne a arătat că unele erau probabil legate de exerciții legitime ale echipei roșii ale întreprinderii, în timp ce altele păreau a fi artefacte ale activității rău intenționate.
Un eșantion rău intenționat trimis către VirusTotal pe 5 aprilie este un applet AppleScript intitulat „Xu Yiqing's Resume_20230320.app” care descarcă o sarcină utilă Geacon nesemnată de pe un server rău intenționat cu o adresă IP din China.
SentinelOne a descoperit că aplicația este compilată pentru sistemele macOS care rulează fie pe Apple, fie pe Intel silicon. Appletul conține o logică care îl ajută să determine arhitectura unui anumit sistem macOS, astfel încât să poată descărca sarcina utilă Geacon specifică pentru dispozitivul respectiv. Binarul Geacon compilat în sine conține un PDF încorporat care afișează mai întâi un CV pentru o persoană numită Xu Yiqing înainte de a se transmite către serverul său de comandă și control (C2).
„Binarul Geacon compilat are o multitudine de funcții pentru sarcini precum comunicațiile în rețea, criptarea, decriptarea, descărcarea încărcărilor utile și exfiltrarea datelor”, a spus SentinelOne.
Într-un alt caz, SentinelOne a descoperit o încărcare utilă Geacon încorporată într-o versiune falsă a aplicației de asistență la distanță SecureLink pentru întreprinderi. Sarcina utilă a apărut în VirusTotal pe 11 aprilie și a vizat doar sistemele macOS bazate pe Intel. Spre deosebire de eșantionul Geacon anterior, SentinelOne a găsit că al doilea este o aplicație simplă, nesemnată, probabil construită cu un instrument automat. Aplicația i-a cerut utilizatorului să acorde acces la camera dispozitivului, microfon, privilegii de administrator și alte setări de obicei protejate prin cadrul de transparență, consimțământ și control al macOS. În acest caz, sarcina utilă Geacon a comunicat cu un server cunoscut Cobalt Strike C2 cu o adresă IP cu sediul în Japonia.
„Nu este prima dată când vedem un troian mascandu-se drept SecureLink cu un cadru de atac open-source încorporat”, a spus SentinelOne. Furnizorul de securitate a indicat descoperirea sa în septembrie anul trecut a unui cadru de atac open-source pentru macOS numit Sliver încorporat cu un SecureLink fals ca un alt exemplu. „[Este] un memento pentru toți că Mac-urile pentru întreprinderi sunt acum vizate pe scară largă de o varietate de actori amenințări”, a spus SentinelOne.
Interes brusc
Atacatorii au folosit de mult timp Cobalt Strike pentru o varietate de activități rău intenționate post-exploatare pe sistemele Windows, inclusiv pentru stabilirea comenzii și controlului, mișcării laterale, generarea sarcinii utile și livrarea exploatării. Au existat cazuri în care atacatorii au folosit ocazional Cobalt Strike pentru a viza și macOS. Un exemplu este un atac de tip typosquatting anul trecut în care un actor amenințător a încercat să implementeze Cobalt Strike pe sisteme Windows, Linux și macOS prin încărcarea unui pachet rău intenționat denumit „pymafka” la registrul PyPI.
În alte cazuri, atacatorii au folosit, de asemenea, un instrument de grupare roșie centrat pe macOS, numit Mythic, ca parte a lanțurilor lor de atac.
Activitatea care implică Geacon în sine a început la scurt timp după ce un cercetător chinez anonim care folosea mânerul „z3ratu1” a lansat două furci Geacon în octombrie anul trecut – una privată și probabil de vânzare numită „geacon_pro” și cealaltă publică, numită geacon-plus. Versiunea pro include câteva caracteristici suplimentare, cum ar fi ocolirea anti-virus și capabilitățile anti-ucidere, spune Tom Hegel, cercetător senior pentru amenințări la SentinelOne.
El atribuie interesul brusc al atacatorului pentru Geacon unui blog pe care z3ratu1 l-a postat descriind cele două furci și încercările sale de a-și comercializa munca. Proiectul original Geacon în sine a fost în mare parte pentru analiza protocolului și scopuri de inginerie inversă, spune el.
Atacurile Mac
Utilizarea în creștere a Geacon cu răutate se potrivește cu un model mai larg de interes crescând al atacatorilor pentru sistemele macOS.
La începutul acestui an, cercetătorii de la Uptycs au raportat despre o noul eșantion de malware Mac nou denumit „MacStealer” care, în conformitate cu numele său, a furat documente, datele brelocului iCloud, cookie-uri de browser și alte date de la utilizatorii Apple. În aprilie, operatorii „Lockbit” au devenit primul actor important de ransomware dezvolta o versiune pentru Mac a malware-ului lor, creând terenul pe care alții să-l urmeze. Și anul trecut, renumitul Grup Lazăr din Coreea de Nord a devenit printre primele grupuri cunoscute susținute de stat care începeți să vizați Mac-urile Apple.
SentinelOne a lansat un set de indicatori pentru a ajuta organizațiile să identifice încărcăturile utile Geacon rău intenționate.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Cumpărați și vindeți acțiuni în companii PRE-IPO cu PREIPO®. Accesați Aici.
- Sursa: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :are
- :este
- :nu
- :Unde
- $UP
- 11
- a
- acces
- activităţi de
- activitate
- actori
- Suplimentar
- adresa
- După
- în urmă
- TOATE
- de asemenea
- printre
- an
- analiză
- și
- Anonim
- O alta
- aplicaţia
- a apărut
- Apple
- aplicație
- Aprilie
- arhitectură
- SUNT
- AS
- At
- ataca
- a încercat să
- Încercările
- Automata
- bazat
- BE
- a devenit
- deveni
- fost
- înainte
- fiind
- Blog
- mai larg
- browser-ul
- cookie-uri de browser
- construit
- by
- denumit
- aparat foto
- CAN
- capacități
- lanţuri
- chinez
- comunicate
- Comunicații
- consimţământ
- conține
- Control
- fursecuri
- de date
- livrare
- implementa
- Implementarea
- Determina
- dispozitiv
- a descoperit
- descoperire
- afișează
- documente
- Descarca
- download-uri
- numit
- oricare
- încorporat
- criptare
- Inginerie
- Afacere
- stabilirea
- Eter (ETH)
- exemplu
- Exploata
- fals
- DESCRIERE
- puțini
- First
- prima dată
- concentrat
- urma
- Pentru
- Furci
- găsit
- patru
- Cadru
- din
- funcții
- mai mult
- generaţie
- GitHub
- acordarea
- grup
- Grupului
- În creştere
- HAD
- manipula
- Avea
- he
- ajutor
- ajută
- lui
- HTTPS
- identifica
- implementarea
- in
- include
- Inclusiv
- Indicatorii
- individ
- instanță
- Intel
- interes
- IP
- Adresa IP
- IT
- ESTE
- în sine
- Japonia
- jpg
- păstrare
- cunoscut
- Coreea
- în mare măsură
- Nume
- Anul trecut
- Lazăr
- Grupul Lazarus
- legitim
- ca
- Probabil
- linux
- logică
- Lung
- mac
- MacOS
- major
- malware
- Piață
- microfon
- luni
- mişcare
- mult
- multitudine
- nume
- Numit
- reţea
- Nou
- North
- Coreea de Nord
- notoriu
- acum
- octombrie
- of
- on
- ONE
- afară
- open-source
- Operatorii
- or
- organizații
- original
- Altele
- Altele
- afară
- pachet
- parte
- special
- trecut
- Model
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- postat
- precedent
- privat
- privilegii
- Pro
- proiect
- protejat
- protocol
- public
- scopuri
- radar
- Ransomware
- recent
- Inregistreaza-te
- legate de
- eliberat
- a ramas
- Raportat
- necesar
- cercetător
- cercetători
- relua
- inversa
- funcţionare
- s
- Said
- sare
- acelaşi
- spune
- Al doilea
- securitate
- văzut
- senior
- Santinela Unu
- Septembrie
- set
- instalare
- setări
- câteva
- Pe scurt
- a arătat
- Siliciu
- So
- unele
- specific
- observarea
- Etapă
- început
- furat
- grevă
- prezentat
- astfel de
- brusc
- sistem
- sisteme
- Ţintă
- vizate
- direcționare
- sarcini
- acea
- lor
- Acolo.
- ei
- acest
- în această săptămână
- în acest an
- amenințare
- actori amenințători
- timp
- cu denumirea
- la
- instrument
- Transparență
- troian
- Două
- tipic
- în
- spre deosebire de
- utilizare
- utilizat
- Utilizator
- utilizatorii
- folosind
- varietate
- vânzător
- versiune
- a fost
- Cale..
- we
- săptămână
- BINE
- au fost
- în timp ce
- pe larg
- ferestre
- cu
- Apartamente
- an
- ani
- zephyrnet