Dikkat: Tehdit aktörleri, ilk kez dört yıl önce GitHub'da ortaya çıkan ve büyük ölçüde gözden kaçan Geacon adlı Cobalt Strike'ın Go dilindeki uygulamasını kullanıyor.
Geçtiğimiz birkaç yılda Windows platformlarında saldırı sonrası faaliyetler için Cobalt Strike'ı kullandıkları gibi, macOS sistemlerini hedeflemek için kırmızı ekip oluşturma ve saldırı simülasyon aracını kullanıyorlar.
SentinelOne'daki güvenlik araştırmacıları aktiviteyi bildirdi Geçtiğimiz aylarda VirusTotal'da birkaç Geacon verisinin göründüğünü fark ettikten sonra bu hafta. SentinelOne'ın örnekler üzerinde yaptığı analiz, bunların bazılarının meşru kurumsal kırmızı takım faaliyetleriyle ilgili olduğunu, diğerlerinin ise kötü niyetli faaliyetlerin eserleri gibi göründüğünü gösterdi.
5 Nisan'da VirusTotal'a gönderilen kötü amaçlı örneklerden biri, Çin merkezli IP adresine sahip kötü amaçlı bir sunucudan imzasız bir Geacon verisi indiren "Xu Yiqing's Resume_20230320.app" başlıklı bir AppleScript uygulamasıdır.
SentinelOne, uygulamanın Apple veya Intel silikon üzerinde çalışan macOS sistemleri için derlendiğini buldu. Uygulama, belirli bir macOS sisteminin mimarisini belirlemesine yardımcı olan ve bu aygıt için belirli Geacon verisini indirebilen bir mantık içerir. Derlenen Geacon ikili dosyasının kendisi, komuta ve kontrol (C2) sunucusuna işaret etmeden önce Xu Yiqing adlı bir kişinin özgeçmişini görüntüleyen gömülü bir PDF içerir.
SentinelOne, "Derlenmiş Geacon ikili dosyası, ağ iletişimi, şifreleme, şifre çözme, daha fazla veri indirme ve veri sızdırma gibi görevler için çok sayıda fonksiyona sahiptir" dedi.
Başka bir örnekte SentinelOne, SecureLink kurumsal uzaktan destek uygulamasının sahte bir sürümüne gömülü bir Geacon verisi keşfetti. Yük, 11 Nisan'da VirusTotal'da göründü ve yalnızca Intel tabanlı macOS sistemlerini hedef aldı. Önceki Geacon örneğinden farklı olarak SentinelOne, ikincisinin muhtemelen otomatik bir araçla oluşturulmuş basit, imzasız bir uygulama olduğunu buldu. Uygulama, kullanıcının cihaz kamerasına, mikrofona, yönetici ayrıcalıklarına ve genellikle macOS'un Şeffaflık, Rıza ve Kontrol çerçevesi altında korunan diğer ayarlara erişim izni vermesini gerektiriyordu. Bu örnekte Geacon verisi, Japonya merkezli bir IP adresine sahip bilinen bir Cobalt Strike C2 sunucusuyla iletişim kurdu.
SentinelOne, "Bu, yerleşik açık kaynak saldırı çerçevesiyle SecureLink kılığına giren bir Truva atını ilk kez görmüyoruz" dedi. Güvenlik sağlayıcısı, başka bir örnek olarak, geçen Eylül ayında macOS için Sliver adı verilen ve sahte SecureLink içeren açık kaynaklı bir saldırı çerçevesinin keşfedildiğini gösterdi. SentinelOne, "Bu, kurumsal Mac'lerin artık çeşitli tehdit aktörleri tarafından geniş çapta hedef alındığını herkese hatırlatıyor" dedi.
Ani İlgi
Saldırganlar uzun süredir Cobalt Strike'ı Windows sistemlerinde komuta ve kontrol oluşturma, yanal hareket, yük oluşturma ve açıklardan yararlanma dağıtımı dahil olmak üzere çeşitli kötü niyetli saldırı sonrası faaliyetler için kullanıyor. Saldırganların ara sıra Cobalt Strike'ı kullanarak macOS'u hedef aldığı durumlar da oldu. Bunun bir örneği, geçen yıl bir tehdit aktörünün Cobalt Strike'ı Windows, Linux ve macOS sistemlerine dağıtmaya çalıştığı yazım hatası saldırısıdır. “pymafka” adlı kötü amaçlı bir paketin yüklenmesi PyPI kaydına.
Diğer durumlarda saldırganlar, saldırı zincirlerinin bir parçası olarak Mythic adlı macOS odaklı kırmızı ekip oluşturma aracını da kullandı.
Geacon'u içeren faaliyet, "z3ratu1" tanıtıcısını kullanan isimsiz bir Çinli araştırmacının geçen Ekim ayında iki Geacon çatalını piyasaya sürmesinden kısa bir süre sonra başladı - biri özel ve muhtemelen satılık "geacon_pro", diğeri ise geacon-plus olarak adlandırılıyor. SentinelOne'da kıdemli tehdit araştırmacısı Tom Hegel, profesyonel sürümün antivirüs bypass ve anti-kill yetenekleri gibi bazı ek özellikler içerdiğini söylüyor.
Saldırganın Geacon'a olan ani ilgisini z3ratu1'in iki çatalı ve çalışmalarını pazarlama girişimlerini anlatan bir blog yayınladığına bağlıyor. Orijinal Geacon projesinin büyük ölçüde protokol analizi ve tersine mühendislik amaçlı olduğunu söylüyor.
Mac Saldırıları
Geacon'un giderek artan kötü amaçlı kullanımı, saldırganların macOS sistemlerine yönelik giderek artan ilgisinin daha geniş bir modeliyle uyum sağlıyor.
Bu yılın başlarında Uptycs'teki araştırmacılar bir rapor yayınladılar. yeni yeni Mac kötü amaçlı yazılım örneği Adına uygun olarak Apple kullanıcılarından belgeleri, iCloud anahtarlık verilerini, tarayıcı çerezlerini ve diğer verileri çalan "MacStealer" adlı bir şirket. Nisan ayında “Lockbit” operatörleri fidye yazılımının ilk büyük aktörü oldu. Mac sürümünü geliştir kötü amaçlı yazılımlarını ortadan kaldırarak başkalarının da takip etmesi için zemin hazırlıyor. Ve geçen yıl, Kuzey Kore'nin kötü şöhretli Lazarus Grubu, bilinen ilk devlet destekli gruplar arasında yer aldı. Apple Mac'leri hedeflemeye başlayın.
SentinelOne, kuruluşların kötü amaçlı Geacon veri yüklerini tanımlamasına yardımcı olacak bir dizi gösterge yayınladı.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
- Kaynak: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 11
- a
- erişim
- faaliyetler
- etkinlik
- aktörler
- Ek
- adres
- Sonra
- önce
- Türkiye
- Ayrıca
- arasında
- an
- analiz
- ve
- Anonim
- Başka
- uygulamayı yükleyeceğiz
- çıktı
- Apple
- Uygulama
- Nisan
- mimari
- ARE
- AS
- At
- saldırı
- teşebbüs
- Denemeler
- Otomatik
- merkezli
- BE
- oldu
- müşterimiz
- olmuştur
- önce
- olmak
- Blog
- Daha geniş
- tarayıcı
- tarayıcı çerezleri
- yapılı
- by
- denilen
- kamera
- CAN
- yetenekleri
- zincirler
- Çince
- tebliğ
- İletişim
- rıza
- içeren
- kontrol
- kurabiye
- veri
- teslim
- dağıtmak
- dağıtma
- Belirlemek
- cihaz
- keşfetti
- keşif
- görüntüler
- evraklar
- indir
- indirme
- dublajlı
- ya
- gömülü
- şifreleme
- Mühendislik
- kuruluş
- kurulması
- Eter (ETH)
- örnek
- sömürmek
- sahte
- Özellikler
- az
- Ad
- ilk kez
- odaklanmış
- takip et
- İçin
- çatallar
- bulundu
- dört
- iskelet
- itibaren
- fonksiyonlar
- daha fazla
- nesil
- GitHub
- vermek
- grup
- Grubun
- Büyüyen
- vardı
- sap
- Var
- he
- yardım et
- yardımcı olur
- onun
- HTTPS
- belirlemek
- uygulama
- in
- içerir
- Dahil olmak üzere
- göstergeler
- bireysel
- örnek
- Intel
- faiz
- IP
- IP Adresi
- IT
- ONUN
- kendisi
- Japonya
- jpg
- koruma
- bilinen
- Kore
- çok
- Soyad
- Geçen yıl
- Lazarus
- Lazarus Grubu
- meşru
- sevmek
- Muhtemelen
- linux
- mantık
- Uzun
- mac
- macos
- büyük
- kötü amaçlı yazılım
- pazar
- mikrofon
- ay
- hareket
- çok
- çokluk
- isim
- adlı
- ağ
- yeni
- Kuzey
- Güney Kore
- adı çıkmış
- şimdi
- Ekim
- of
- on
- ONE
- bir tek
- açık kaynak
- operatörler
- or
- organizasyonlar
- orijinal
- Diğer
- Diğer
- dışarı
- paket
- Bölüm
- belirli
- geçmiş
- model
- Platformlar
- Platon
- Plato Veri Zekası
- PlatoVeri
- posted
- önceki
- özel
- ayrıcalıklar
- başına
- proje
- korumalı
- protokol
- halka açık
- amaçlı
- radar
- fidye
- son
- kayıt olmak
- ilgili
- serbest
- kalmıştır
- Bildirilen
- gereklidir
- araştırmacı
- Araştırmacılar
- devam et
- ters
- koşu
- s
- Adı geçen
- satış
- aynı
- diyor
- İkinci
- güvenlik
- görüldü
- kıdemli
- SentinelBir
- Eylül
- set
- ayar
- ayarlar
- birkaç
- kısaca
- gösterdi
- Silikon
- So
- biraz
- özel
- lekelenme
- Aşama
- başladı
- çaldı
- grev
- gönderilen
- böyle
- ani
- sistem
- Sistemler
- Hedef
- Hedeflenen
- hedefleme
- görevleri
- o
- The
- ve bazı Asya
- Orada.
- onlar
- Re-Tweet
- Bu hafta
- Bu yıl
- tehdit
- tehdit aktörleri
- zaman
- başlıklı
- için
- araç
- Şeffaflık
- Truva
- iki
- tipik
- altında
- aksine
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanma
- çeşitlilik
- satıcı
- versiyon
- oldu
- Yol..
- we
- hafta
- İYİ
- vardı
- süre
- geniş ölçüde
- pencereler
- ile
- İş
- yıl
- yıl
- zefirnet