注意:威胁行为者现在正在部署一种名为 Geacon 的 Cobalt Strike 的 Go 语言实现,它于四年前首次出现在 GitHub 上,并且在很大程度上仍未受到关注。
他们正在使用红队和攻击模拟工具来针对 macOS 系统,其方式与过去几年在 Windows 平台上使用 Cobalt Strike 进行后开发活动的方式大致相同。
SentinelOne 的安全研究人员 报告了活动 在最近几个月发现几个 Geacon 有效载荷出现在 VirusTotal 上之后,本周。 SentinelOne 对样本的分析表明,有些可能与合法的企业红队演习有关,而另一些则似乎是恶意活动的产物。
5 月 20230320 日提交给 VirusTotal 的一个恶意样本是一个名为“Xu Yiqing's Resume_XNUMX.app”的 AppleScript 小程序,它从具有中国 IP 地址的恶意服务器下载未签名的 Geacon 负载。
SentinelOne 发现该应用程序是为运行在 Apple 或 Intel 芯片上的 macOS 系统编译的。 该小程序包含帮助它确定特定 macOS 系统架构的逻辑,因此它可以为该设备下载特定的 Geacon 有效负载。 编译后的 Geacon 二进制文件本身包含一个嵌入式 PDF,该文件首先显示名为 Xu Yiqing 的个人的简历,然后再向其命令和控制 (C2) 服务器发出信号。
“编译后的 Geacon 二进制文件具有多种功能,可用于网络通信、加密、解密、下载更多有效载荷和泄露数据等任务,”SentinelOne 说。
在另一个实例中,SentinelOne 发现了嵌入在 SecureLink 企业远程支持应用程序的伪造版本中的 Geacon 有效负载。 该有效载荷于 11 月 2 日出现在 VirusTotal 中,并且仅针对基于 Intel 的 macOS 系统。 与之前的 Geacon 样本不同,SentinelOne 发现第二个样本是一个基本的、未签名的应用程序,很可能是使用自动化工具构建的。 该应用程序要求用户授予对设备摄像头、麦克风、管理员权限和其他通常受 macOS 的透明度、同意和控制框架保护的设置的访问权限。 在这种情况下,Geacon 有效载荷与已知的 Cobalt Strike CXNUMX 服务器通信,IP 地址位于日本。
“这不是我们第一次看到木马伪装成带有嵌入式开源攻击框架的 SecureLink,”SentinelOne 说。 这家安全供应商以去年 XNUMX 月发现的名为 Sliver 的 macOS 开源攻击框架为例,该框架嵌入了伪造的 SecureLink。 “[它]提醒所有人,企业 Mac 现在正成为各种威胁行为者的广泛目标,”SentinelOne 说。
突然的兴趣
攻击者长期以来一直使用 Cobalt Strike 在 Windows 系统上进行各种恶意的后利用活动,包括建立命令和控制、横向移动、有效负载生成和利用传递。 在某些情况下,攻击者偶尔也会使用 Cobalt Strike 来攻击 macOS。 一个例子是去年的域名仿冒攻击,其中一名威胁参与者试图通过以下方式在 Windows、Linux 和 macOS 系统上部署 Cobalt Strike 上传一个名为“pymafka”的恶意包 到 PyPI 寄存器。
在其他情况下,攻击者还使用名为 Mythic 的以 macOS 为中心的红队工具作为其攻击链的一部分。
去年 3 月,一位匿名的中国研究人员使用“z1ratuXNUMX”的句柄发布了两个 Geacon 分支后不久,涉及 Geacon 本身的活动就开始了——一个是私人的,可能会出售,名为“geacon_pro”,另一个是公开的,名为 geacon-plus。 SentinelOne 的高级威胁研究员 Tom Hegel 说,专业版包括一些附加功能,例如防病毒绕过和反杀功能。
他将攻击者对 Geacon 的突然兴趣归因于 z3ratu1 发布的一篇博客,该博客描述了这两个分叉以及他试图推销他的作品。 他说,最初的 Geacon 项目本身主要用于协议分析和逆向工程目的。
Mac 攻击
Geacon 的恶意使用越来越多,这与攻击者对 macOS 系统越来越感兴趣的更广泛模式相吻合。
今年早些时候,Uptycs 的研究人员报告了一项 新的 Mac 恶意软件样本 被称为“MacStealer”,与其名称一致,它从 Apple 用户那里窃取文档、iCloud 钥匙串数据、浏览器 cookie 和其他数据。 XNUMX 月,“Lockbit”的运营商成为第一个勒索软件的主要参与者 开发Mac版本 他们的恶意软件,为其他人效仿奠定了基础。 去年,朝鲜臭名昭著的拉撒路集团成为已知的首批受国家支持的集团之一 开始瞄准 Apple Mac.
SentinelOne 发布了一组指标来帮助组织识别恶意 Geacon 负载。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://www.darkreading.com/attacks-breaches/attackers-use-geacon-as-new-cobalt-strike-for-macos-systems
- :具有
- :是
- :不是
- :在哪里
- $UP
- 11
- a
- ACCESS
- 活动
- 活动
- 演员
- 额外
- 地址
- 后
- 前
- 所有类型
- 还
- 其中
- an
- 分析
- 和
- 匿名
- 另一个
- 应用
- 出现
- Apple
- 应用领域
- 四月
- 架构
- 保健
- AS
- At
- 攻击
- 尝试
- 尝试
- 自动化
- 基于
- BE
- 成为
- 成为
- 很
- before
- 作为
- 博客
- 更广泛
- 浏览器
- 浏览器cookie
- 建
- by
- 被称为
- 相机
- CAN
- 能力
- 链
- 中文
- 沟通
- 通信
- 同意
- 包含
- 控制
- 曲奇饼
- data
- 交货
- 部署
- 部署
- 确定
- 设备
- 发现
- 发现
- 显示器
- 文件
- 下载
- 下载
- 配音
- 或
- 嵌入式
- 加密
- 工程师
- 企业
- 建立
- 醚(ETH)
- 例子
- 利用
- 假
- 特征
- 少数
- 姓氏:
- 第一次
- 重点
- 遵循
- 针对
- 福克斯
- 发现
- 四
- 骨架
- 止
- 功能
- 进一步
- 代
- GitHub上
- 授予
- 团队
- 组的
- 成长
- 民政事务总署
- 处理
- 有
- he
- 帮助
- 帮助
- 他的
- HTTPS
- 鉴定
- 履行
- in
- 包括
- 包含
- 指标
- 个人
- 例
- 英特尔
- 兴趣
- IP
- IP地址
- IT
- 它的
- 本身
- 日本
- JPG
- 保持
- 已知
- 韩国
- 在很大程度上
- 名:
- 去年
- 拉撒路
- 拉撒路集团
- 合法
- 喜欢
- 容易
- Linux的
- 逻辑
- 长
- MAC
- MacOS的
- 主要
- 恶意软件
- 市场
- 麦克风
- 个月
- 运动
- 许多
- 多数
- 姓名
- 命名
- 网络
- 全新
- 北
- 北朝鲜
- 臭名昭著
- 现在
- 十月
- of
- on
- 一
- 仅由
- 开放源码
- 运营商
- or
- 组织
- 原版的
- 其他名称
- 其它
- 输出
- 包
- 部分
- 特别
- 过去
- 模式
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 发布
- 以前
- 私立
- 权限
- 专业版
- 项目
- 保护
- 协议
- 国家
- 目的
- 雷达
- 勒索
- 最近
- 寄存器
- 有关
- 发布
- 保持
- 报道
- 必须
- 研究员
- 研究人员
- 简历
- 反转
- 运行
- s
- 说
- 盐
- 同
- 说
- 其次
- 保安
- 看到
- 前辈
- 哨兵一号
- 九月
- 集
- 设置
- 设置
- 几个
- 不久
- 显示
- 硅
- So
- 一些
- 具体的
- 斑点
- 阶段
- 开始
- 偷了
- 罢工
- 提交
- 这样
- 突
- 系统
- 产品
- 目标
- 针对
- 瞄准
- 任务
- 这
- 其
- 那里。
- 他们
- Free Introduction
- 本星期
- 今年
- 威胁
- 威胁者
- 次
- 标题
- 至
- 工具
- 用户评论透明
- 木马
- 二
- 一般
- 下
- 不像
- 使用
- 用过的
- 用户
- 用户
- 运用
- 各种
- 供应商
- 版本
- 是
- 方法..
- we
- 周
- 井
- 为
- 而
- 广泛
- 窗户
- 工作
- 年
- 年
- 和风网