Попередження: зараз зловмисники розгортають реалізацію Cobalt Strike на мові Go під назвою Geacon, яка вперше з’явилася на GitHub чотири роки тому і залишалася в основному поза увагою.
Вони використовують інструмент red-teaming і моделювання атак для націлювання на системи macOS приблизно так само, як вони використовували Cobalt Strike для постексплойт-активності на платформах Windows протягом останніх кількох років.
Дослідники безпеки в SentinelOne повідомив про діяльність цього тижня після виявлення кількох корисних даних Geacon, які з’явилися на VirusTotal за останні місяці. Аналіз зразків, проведений SentinelOne, показав, що деякі з них, ймовірно, були пов’язані з законними тренуваннями червоної команди підприємства, тоді як інші виявилися артефактами зловмисної діяльності.
Один шкідливий зразок, надісланий VirusTotal 5 квітня, — це аплет AppleScript під назвою «Xu Yiqing's Resume_20230320.app», який завантажує непідписане корисне навантаження Geacon зі шкідливого сервера з IP-адресою в Китаї.
SentinelOne виявив, що додаток скомпільовано для систем macOS, що працюють на процесорі Apple або Intel. Аплет містить логіку, яка допомагає йому визначити архітектуру певної системи macOS, щоб він міг завантажити певне корисне навантаження Geacon для цього пристрою. Сам скомпільований двійковий файл Geacon містить вбудований PDF-файл, який спочатку відображає резюме особи на ім’я Xu Yiqing перед тим, як передавати його на сервер керування та управління (C2).
«Скомпільований двійковий файл Geacon має безліч функцій для таких завдань, як мережевий зв’язок, шифрування, дешифрування, завантаження додаткових корисних даних і вилучення даних», — сказав SentinelOne.
В іншому випадку SentinelOne виявив корисне навантаження Geacon, вбудоване в підроблену версію корпоративної програми віддаленої підтримки SecureLink. Корисне навантаження з’явилося у VirusTotal 11 квітня та було націлено лише на системи macOS на базі Intel. На відміну від попереднього зразка Geacon, SentinelOne виявив, що другий є простою, непідписаною програмою, ймовірно, створеною за допомогою автоматизованого інструменту. Додаток вимагав від користувача надати доступ до камери пристрою, мікрофона, прав адміністратора та інших налаштувань, які зазвичай захищаються системою прозорості, згоди та контролю macOS. У цьому випадку корисне навантаження Geacon спілкувалося з відомим сервером Cobalt Strike C2 з IP-адресою в Японії.
«Це не перший випадок, коли ми бачимо трояна під виглядом SecureLink із вбудованою системою атак з відкритим вихідним кодом», — сказав SentinelOne. Як ще один приклад, постачальник засобів безпеки вказав на відкриття у вересні минулого року фреймворку атаки з відкритим кодом для macOS під назвою Sliver із вбудованим підробленим SecureLink. «[Це] нагадування всім, що корпоративні комп’ютери Mac зараз широко атакуються різними загрозливими суб’єктами», — сказав SentinelOne.
Раптовий інтерес
Зловмисники протягом тривалого часу використовували Cobalt Strike для різноманітних зловмисних дій після експлойту в системах Windows, зокрема для встановлення команди й контролю, бокового переміщення, створення корисного навантаження та доставки експлойтів. Були випадки, коли зловмисники час від часу використовували Cobalt Strike також для націлювання на macOS. Одним із прикладів є атака typosquatting минулого року, коли зловмисник намагався розгорнути Cobalt Strike у системах Windows, Linux і macOS за допомогою завантаження шкідливого пакета під назвою «pymafka» до реєстру PyPI.
В інших випадках зловмисники також використовували орієнтований на macOS інструмент червоного об’єднання під назвою Mythic як частину своїх атак.
Діяльність із залученням самого Geacon почалася незабаром після того, як анонімний китайський дослідник, який використовував дескриптор «z3ratu1», випустив два форки Geacon у жовтні минулого року — один приватний і, ймовірно, для продажу під назвою «geacon_pro», а інший публічний під назвою geacon-plus. Професійна версія включає деякі додаткові функції, такі як антивірусний обхід і можливості захисту від знищення, каже Том Хегель, старший дослідник загроз SentinelOne.
Він приписує раптовий інтерес зловмисників до Geacon блогу, який z3ratu1 опублікував, описуючи два форки та його спроби продати свою роботу. За його словами, оригінальний проект Geacon був здебільшого призначений для аналізу протоколів і зворотного проектування.
Атаки Mac
Зростаюче зловмисне використання Geacon узгоджується з ширшою схемою зростаючого інтересу зловмисників до систем macOS.
На початку цього року дослідники з Uptycs повідомили про a новий зразок шкідливого програмного забезпечення Mac під назвою «MacStealer», який, відповідно до своєї назви, викрадав документи, дані брелоків iCloud, файли cookie браузера та інші дані користувачів Apple. У квітні оператори «Lockbit» стали першим великим учасником програми-вимагача розробити версію для Mac свого зловмисного програмного забезпечення, створюючи основу для інших. А минулого року сумнозвісна північнокорейська група Lazarus Group стала однією з перших відомих підтримуваних державою груп розпочати націлювання на Apple Mac.
SentinelOne випустив набір індикаторів, які допомагають організаціям ідентифікувати зловмисне корисне навантаження Geacon.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- : має
- :є
- : ні
- :де
- $UP
- 11
- a
- доступ
- діяльності
- діяльність
- актори
- Додатковий
- адреса
- після
- назад
- ВСІ
- Також
- серед
- an
- аналіз
- та
- анонімний
- Інший
- додаток
- з'явився
- Apple
- додаток
- квітня
- архітектура
- ЕСТЬ
- AS
- At
- атака
- спробував
- Спроби
- Автоматизований
- заснований
- BE
- стали
- ставати
- було
- перед тим
- буття
- Блог
- ширше
- браузер
- файли cookie браузера
- побудований
- by
- званий
- кімната
- CAN
- можливості
- ланцюга
- китайський
- спілкувалися
- зв'язку
- згода
- містить
- контроль
- печиво
- дані
- доставка
- розгортання
- розгортання
- Визначати
- пристрій
- відкритий
- відкриття
- дисплеїв
- документація
- скачати
- завантажень
- охрестили
- або
- вбудований
- шифрування
- Машинобудування
- підприємство
- налагодження
- Ефір (ETH)
- приклад
- Експлуатувати
- підроблений
- риси
- кілька
- Перший
- перший раз
- увагу
- стежити
- для
- вилки
- знайдений
- чотири
- Рамки
- від
- Функції
- далі
- покоління
- GitHub
- надавати
- Group
- Групи
- Зростання
- було
- обробляти
- Мати
- he
- допомога
- допомагає
- його
- HTTPS
- ідентифікувати
- реалізація
- in
- includes
- У тому числі
- індикатори
- індивідуальний
- екземпляр
- Intel
- інтерес
- IP
- IP-адреса
- IT
- ЙОГО
- сам
- Japan
- JPG
- зберігання
- відомий
- Корея
- в значній мірі
- останній
- Минулого року
- Лазар
- Група «Лазар»
- законний
- як
- Ймовірно
- Linux
- логіка
- Довго
- макінтош
- MacOS
- основний
- шкідливих програм
- ринок
- мікрофон
- місяців
- руху
- багато
- безліч
- ім'я
- Названий
- мережу
- Нові
- На північ
- Північна Корея
- горезвісний
- зараз
- жовтень
- of
- on
- ONE
- тільки
- з відкритим вихідним кодом
- Оператори
- or
- організації
- оригінал
- Інше
- інші
- з
- пакет
- частина
- приватність
- Минуле
- Викрійки
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- розміщені
- попередній
- приватний
- привілеї
- Pro
- проект
- захищений
- протокол
- громадськість
- цілей
- радар
- вимагачів
- останній
- реєструвати
- пов'язаний
- випущений
- залишився
- Повідомляється
- вимагається
- дослідник
- Дослідники
- резюме
- зворотний
- біг
- s
- Зазначений
- sale
- то ж
- говорить
- другий
- безпеку
- бачив
- старший
- SentinelOne
- Вересень
- комплект
- установка
- налаштування
- кілька
- Незабаром
- показав
- Кремній
- So
- деякі
- конкретний
- кров’янисті виділення
- Стажування
- почалася
- вкрав
- удар
- представлений
- такі
- раптовий
- система
- Systems
- Мета
- цільове
- націлювання
- завдання
- Що
- Команда
- їх
- Там.
- вони
- це
- На цьому тижні
- У цьому році
- загроза
- актори загроз
- час
- під назвою
- до
- інструмент
- прозорість
- троянець
- два
- типово
- при
- на відміну від
- використання
- використовуваний
- користувач
- користувачі
- використання
- різноманітність
- продавець
- версія
- було
- шлях..
- we
- week
- ДОБРЕ
- були
- в той час як
- широко
- windows
- з
- Work
- рік
- років
- зефірнет