一個名為Geacon的Golang Cobalt Strike實(shí)施很可能會引起針對Apple macOS系統(tǒng)的威脅參與者的注意。
這是根據(jù)SentinelOne的調(diào)查結(jié)果,它觀察到最近幾個月出現(xiàn)在ViRustotal上的Geacon有效載荷數(shù)量增加。
安全研究人員Phil Stokes和Dinesh Devadoss在一份報告中說:“雖然其中一些可能是紅衫軍的行動,但其他人則具有真正惡意攻擊的特征。”
Cobalt Strike是一款著名的紅色組隊和敵手模擬工具,由Fortra開發(fā)。由于其無數(shù)的能力,非法破解版本的軟件已被濫用的威脅行動者多年來。
雖然與Cobalt Strike相關(guān)的后利用活動主要針對windows,但針對macOS的此類攻擊非常罕見。
2022年5月,軟件供應(yīng)鏈公司Sonatype披露了一個名為“pymafka”的流氓Python/ target=_blank class=infotextkey>Python軟件包的細(xì)節(jié),該軟件包被設(shè)計用于在被入侵的Windows、macOS和linux主機(jī)上投放Cobalt Strike Beacon。
然而,隨著Geacon人工制品在野外的出現(xiàn),這種情況可能會發(fā)生改變。Geacon是Cobalt Strike的Go變體,于2020年2月在Github上發(fā)布。
對2023年4月上傳的兩個新VirusTotal樣本的進(jìn)一步分析發(fā)現(xiàn),它們的起源可追溯到兩個Geacon變種(geacon_plus和geacon_pro),這兩個變種是由兩名匿名的中國開發(fā)人員z3ratu1和H4de5在10月底開發(fā)的。
Geacon_pro項目在GitHub上不再可訪問,但互聯(lián)網(wǎng)檔案館在2023年3月6日捕獲的快照顯示,它能夠繞過反病毒引擎,如微軟Defender、卡巴斯基和奇虎360 360 360酷睿晶。
開發(fā)人員H4de5聲稱,該工具主要用于支持CobaltStrike版本4.1及更高版本,而geaconplus則支持CobaltStrike版本4.0。該軟件的當(dāng)前版本為4.8。
許某某的簡歷_20230320.app是SentinelOne發(fā)現(xiàn)的工件之一,它使用一個僅運(yùn)行的AppleScript來連接遠(yuǎn)程服務(wù)器并下載一個Gecon有效負(fù)載。它與蘋果硅和英特爾的架構(gòu)兼容。
研究人員說:“未簽名的”地理信息載體“的有效載荷是從中國的IP地址中檢索出來的。”“在開始信標(biāo)活動之前,用戶會收到一份兩頁長的誘餌文件,嵌入在Gecon二進(jìn)制文件中。打開一個PDF,顯示一個名為”許某某“的人的簡歷。”
由geacon_plus源代碼編譯的gecon二進(jìn)制文件包含多種功能,使其能夠下載下一階段的有效載荷和抽取數(shù)據(jù),并方便網(wǎng)絡(luò)通信。
根據(jù)網(wǎng)絡(luò)安全公司的說法,第二個示例是嵌入在一個偽裝成SecureLINK遠(yuǎn)程支持應(yīng)用程序(SecureLink.app)并主要針對英特爾設(shè)備的特洛伊化應(yīng)用程序中。
這些基本的、未經(jīng)簽名的應(yīng)用程序請求用戶允許訪問聯(lián)系人、照片、提醒以及設(shè)備的照相機(jī)和麥克風(fēng)。它的主要組件是一個由geacon_pro項目構(gòu)建的、連接到日本已知的命令和控制(C2)服務(wù)器的新的Gecon有效載荷。
在這一發(fā)展的同時,MacOS生態(tài)系統(tǒng)正被包括國家贊助的團(tuán)體在內(nèi)的各種潛在威脅行為者瞄準(zhǔn),以部署后門和信息竊取者。
研究人員說:“過去幾個月來,Gecon樣本的上升表明,安全團(tuán)隊?wèi)?yīng)該關(guān)注這一工具,并確保他們的保護(hù)措施到位。”
