خبردار: دھمکی دینے والے اداکار اب کوبالٹ اسٹرائیک کے Go-Language پر عمل درآمد کر رہے ہیں جسے Geacon کہا جاتا ہے جو چار سال پہلے GitHub پر پہلی بار منظر عام پر آیا تھا اور بڑی حد تک ریڈار کے نیچے رہ گیا تھا۔
وہ ریڈ ٹیمنگ اور اٹیک سمولیشن ٹول استعمال کر رہے ہیں تاکہ میکوس سسٹمز کو اسی طرح نشانہ بنایا جا سکے جس طرح انہوں نے پچھلے کچھ سالوں میں ونڈوز پلیٹ فارمز پر پوسٹ ایکسپلوٹ سرگرمی کے لیے کوبالٹ اسٹرائیک کا استعمال کیا ہے۔
سینٹینیل ون میں سیکیورٹی محققین سرگرمی کی اطلاع دی۔ this week after spotting several Geacon payloads appearing on VirusTotal in recent months. SentinelOne’s analysis of the samples showed some were likely related to legitimate enterprise red-team exercises, while others appeared to be artifacts of malicious activity.
One malicious sample submitted to VirusTotal on April 5 is an AppleScript applet titled “Xu Yiqing’s Resume_20230320.app” that downloads an unsigned Geacon payload from a malicious server with a China-based IP address.
سینٹینیل ون نے پایا کہ ایپلیکیشن ایپل یا انٹیل سلیکون پر چلنے والے میک او ایس سسٹم کے لیے مرتب کی گئی ہے۔ ایپلٹ میں ایسی منطق ہوتی ہے جو اسے کسی خاص میک او ایس سسٹم کے فن تعمیر کا تعین کرنے میں مدد کرتی ہے تاکہ یہ اس ڈیوائس کے لیے مخصوص Geacon پے لوڈ کو ڈاؤن لوڈ کر سکے۔ مرتب کردہ Geacon بائنری خود ایک ایمبیڈڈ پی ڈی ایف پر مشتمل ہے جو پہلے اپنے کمانڈ اینڈ کنٹرول (C2) سرور کی طرف اشارہ کرنے سے پہلے Xu Yiqing نامی فرد کے لیے دوبارہ شروع کرتا ہے۔
“The compiled Geacon binary has a multitude of functions for tasks such as network communications, encryption, decryption, downloading further payloads, and exfiltrating data,” SentinelOne said.
In another instance, SentinelOne discovered a Geacon payload embedded in a fake version of the SecureLink enterprise remote-support application. The payload appeared in VirusTotal on April 11 and targeted only Intel-based macOS systems. Unlike the previous Geacon sample, SentinelOne found the second one to be a bare-bones, unsigned application likely built with an automated tool. The app required the user to grant access to the device camera, microphone, administrator privileges, and other settings typically protected under macOS’s Transparency, Consent, and Control framework. In this instance, the Geacon payload communicated with a known Cobalt Strike C2 server with an IP address based in Japan.
“This is not the first time we have seen a Trojan masquerading as SecureLink with an embedded open-source attack framework,” SentinelOne said. The security vendor pointed to its discovery last September of an open-source attack framework for macOS called Sliver embedded with a fake SecureLink as another example. “[Its] a reminder to all that enterprise Macs are now being widely targeted by a variety of threat actors,” SentinelOne said.
اچانک دلچسپی
حملہ آوروں نے طویل عرصے سے کوبالٹ اسٹرائیک کو ونڈوز سسٹمز پر مختلف قسم کی بدنیتی پر مبنی پوسٹ ایکسپلائٹ سرگرمیوں کے لیے استعمال کیا ہے جس میں کمانڈ اینڈ کنٹرول، لیٹرل موومنٹ، پے لوڈ جنریشن، اور ایکسپلائیٹ ڈیلیوری شامل ہے۔ ایسی مثالیں موجود ہیں جہاں حملہ آوروں نے کبھی کبھار کوبالٹ اسٹرائیک کو میک او ایس کو بھی نشانہ بنانے کے لیے استعمال کیا ہے۔ اس کی ایک مثال پچھلے سال ٹائپو کوٹنگ اٹیک ہے جہاں ایک دھمکی آمیز اداکار نے کوبالٹ اسٹرائیک کو ونڈوز، لینکس اور میک او ایس سسٹم پر تعینات کرنے کی کوشش کی تھی۔ uploading a malicious package dubbed “pymafka” PyPI رجسٹر میں۔
دوسری صورتوں میں، حملہ آوروں نے اپنے حملے کی زنجیروں کے حصے کے طور پر ایک macOS فوکسڈ ریڈ ٹیمنگ ٹول کا استعمال کیا ہے جسے Mythic کہتے ہیں۔
The activity involving Geacon itself started shortly after an anonymous Chinese researcher using the handle “z3ratu1” released two Geacon forks last October — one private and likely for sale called “geacon_pro” and the other public, called geacon-plus. The pro version includes some additional features like anti-virus bypassing and anti-kill capabilities, says Tom Hegel, senior threat researcher at SentinelOne.
اس نے جیاکن میں اچانک حملہ آور کی دلچسپی کو ایک بلاگ پر بتایا جو z3ratu1 نے دو فورکس اور اس کے کام کو مارکیٹ کرنے کی اس کی کوششوں کو بیان کرتے ہوئے پوسٹ کیا تھا۔ وہ کہتے ہیں کہ اصل Geacon پروجیکٹ خود زیادہ تر پروٹوکول تجزیہ اور ریورس انجینئرنگ کے مقاصد کے لیے تھا۔
میک حملے
Geacon کا بڑھتا ہوا بدنیتی پر مبنی استعمال macOS سسٹمز میں بڑھتے ہوئے حملہ آور کی دلچسپی کے وسیع پیمانے پر فٹ بیٹھتا ہے۔
اس سال کے شروع میں، اپٹیکس کے محققین نے ایک پر اطلاع دی۔ میک میلویئر کا نیا نمونہ dubbed “MacStealer” that, in keeping with its name, stole documents, iCloud keychain data, browser cookies, and other data from Apple users. In April, the operators of “Lockbit ” became the first major ransomware actor to میک ورژن تیار کریں۔ of their malware, setting the stage for others to follow. And last year, North Korea’s notorious Lazarus Group become among the first known state-backed groups to ایپل میک کو نشانہ بنانا شروع کریں۔.
SentinelOne نے تنظیموں کو نقصان دہ Geacon پے لوڈز کی شناخت میں مدد کرنے کے لیے اشارے کا ایک سیٹ جاری کیا ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
- PREIPO® کے ساتھ PRE-IPO کمپنیوں میں حصص خریدیں اور بیچیں۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- 11
- a
- تک رسائی حاصل
- سرگرمیوں
- سرگرمی
- اداکار
- ایڈیشنل
- پتہ
- کے بعد
- پہلے
- تمام
- بھی
- کے درمیان
- an
- تجزیہ
- اور
- گمنام
- ایک اور
- اپلی کیشن
- شائع ہوا
- ایپل
- درخواست
- اپریل
- فن تعمیر
- کیا
- AS
- At
- حملہ
- کوشش کی
- کوششیں
- آٹومیٹڈ
- کی بنیاد پر
- BE
- بن گیا
- بن
- رہا
- اس سے پہلے
- کیا جا رہا ہے
- بلاگ
- وسیع
- براؤزر
- براؤزر کوکیز
- تعمیر
- by
- کہا جاتا ہے
- کیمرہ
- کر سکتے ہیں
- صلاحیتوں
- زنجیروں
- چینی
- بات چیت
- کموینیکیشن
- رضامندی
- پر مشتمل ہے
- کنٹرول
- کوکیز
- اعداد و شمار
- ترسیل
- تعیناتی
- تعینات
- اس بات کا تعین
- آلہ
- دریافت
- دریافت
- دکھاتا ہے
- دستاویزات
- ڈاؤن لوڈ، اتارنا
- ڈاؤن لوڈز
- ڈوب
- یا تو
- ایمبیڈڈ
- خفیہ کاری
- انجنیئرنگ
- انٹرپرائز
- قیام
- Ether (ETH)
- مثال کے طور پر
- دھماکہ
- جعلی
- خصوصیات
- چند
- پہلا
- پہلی بار
- توجہ مرکوز
- پر عمل کریں
- کے لئے
- فورکس
- ملا
- چار
- فریم ورک
- سے
- افعال
- مزید
- نسل
- GitHub کے
- عطا
- گروپ
- گروپ کا
- بڑھتے ہوئے
- تھا
- ہینڈل
- ہے
- he
- مدد
- مدد کرتا ہے
- ان
- HTTPS
- شناخت
- نفاذ
- in
- شامل ہیں
- سمیت
- انڈیکیٹر
- انفرادی
- مثال کے طور پر
- انٹیل
- دلچسپی
- IP
- IP ایڈریس
- IT
- میں
- خود
- جاپان
- فوٹو
- رکھتے ہوئے
- جانا جاتا ہے
- کوریا
- بڑے پیمانے پر
- آخری
- آخری سال
- لاجر
- لازر گروپ
- جائز
- کی طرح
- امکان
- لینکس
- منطق
- لانگ
- میک
- MacOS کے
- اہم
- میلویئر
- مارکیٹ
- مائکروفون
- ماہ
- تحریک
- بہت
- بھیڑ
- نام
- نامزد
- نیٹ ورک
- نئی
- شمالی
- شمالی کوریا
- بدنام
- اب
- اکتوبر
- of
- on
- ایک
- صرف
- اوپن سورس
- آپریٹرز
- or
- تنظیمیں
- اصل
- دیگر
- دیگر
- باہر
- پیکج
- حصہ
- خاص طور پر
- گزشتہ
- پاٹرن
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوسٹ کیا گیا
- پچھلا
- نجی
- استحقاق
- فی
- منصوبے
- محفوظ
- پروٹوکول
- عوامی
- مقاصد
- ریڈار
- ransomware کے
- حال ہی میں
- رجسٹر
- متعلقہ
- جاری
- رہے
- اطلاع دی
- ضرورت
- محقق
- محققین
- تجربے کی فہرست
- ریورس
- چل رہا ہے
- s
- کہا
- فروخت
- اسی
- کا کہنا ہے کہ
- دوسری
- سیکورٹی
- دیکھا
- سینئر
- سینٹینیل
- ستمبر
- مقرر
- قائم کرنے
- ترتیبات
- کئی
- جلد ہی
- سے ظاہر ہوا
- سلیکن
- So
- کچھ
- مخصوص
- اسپاٹنگ
- اسٹیج
- شروع
- چرا لیا
- ہڑتال
- جمع کرائی
- اس طرح
- اچانک
- کے نظام
- سسٹمز
- ہدف
- ھدف بنائے گئے
- ھدف بندی
- کاموں
- کہ
- ۔
- ان
- وہاں.
- وہ
- اس
- اس ہفتے
- اس سال
- خطرہ
- دھمکی دینے والے اداکار
- وقت
- عنوان
- کرنے کے لئے
- کے آلے
- شفافیت
- ٹروجن
- دو
- عام طور پر
- کے تحت
- برعکس
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- مختلف اقسام کے
- وینڈر
- ورژن
- تھا
- راستہ..
- we
- ہفتے
- اچھا ہے
- تھے
- جبکہ
- بڑے پیمانے پر
- کھڑکیاں
- ساتھ
- کام
- سال
- سال
- زیفیرنیٹ