Golang implementacija Cobalt Strike-a pod nazivom Geacon vjerovatno će privući pažnju hakera koji žele ciljati Apple macOS sisteme.
Nalazi dolaze od SentinelOne-a, koji je primijetio porast broja Geacon payload-ova koji se pojavljuju na VirusTotal-u u posljednjih nekoliko mjeseci.
“Dok su neke od njih vjerovatno operacije crvenog tima, druge imaju karakteristike pravih malicioznih napada” rekli su istraživači sigurnosti Phil Stokes i Dinesh Devadoss u izvještaju.
Cobalt Strike je dobro poznati alat za simulaciju crvenog tima i protivnika koji je razvio Fortra. Zbog bezbrojnih mogućnosti post eksploatacije, ilegalno krekovane verzije softvera su tokom godina zloupotrebljavani od strane hakera.
Dok su aktivnosti nakon eksploatacije povezane s Cobalt Strike-om prvenstveno izdvojile Windows, takvi napadi na macOS su rijetkost.
U maju 2022, firma za lanac nabave softvera Sonatype otkrila je detalje lažnog Python paketa nazvanog “pymafka” koji je dizajniran da ispusti Cobalt Strike Beacon na kompromitovane Windows, macOS i Linux hostove.
To se, međutim, može promijeniti s pojavom Geacon artefakata u divljini. Geacon je Go varijanta Cobalt Strike-a koja je dostupna na GitHub-u od februara 2020. godine.
Daljnjom analizom dva nova uzorka VirusTotal koji su postavljeni u aprilu 2023. godine, njihovog porijekla rezultat su dvije Geacon varijante (geacon_plus i geacon_pro) koje su krajem oktobra razvila dva anonimna kineska programera z3ratu1 i H4de5.
Projekat geacon_pro više nije dostupan na GitHub-u, ali snimak Internet arhive snimljen 6. marta 2023. godine otkriva njegovu sposobnost da zaobiđe antivirusne mehanizme kao što su Microsoft Defender, Kaspersky i Qihoo 360 360 Core Crystal.
H4de5, programer iza geacon_pro, tvrdi da je alat uglavnom dizajniran da podržava CobaltStrike verzije 4.1 i novije, dok geacon_plus podržava CobaltStrike verziju 4.0. Trenutna verzija softvera je 4.8.
Xu Yiqing-ova Resume_20230320.app, jedan od artefakata koje je otkrio SentinelOne, koristi AppleScript samo za pokretanje da dopre do udaljenog servera i preuzme Geacon payload. Kompatibilan je i sa Apple silikonskom i sa Intel arhitekturom.
“Nepotpisani Geacon payload se preuzima sa IP adrese u Kini” rekli su istraživači. “Prije nego što započne svoju aktivnost beaconing-a, korisniku se prikazuje varalica od dvije stranice koja je ugrađena u Geacon binarnu datoteku. Otvara se PDF koji prikazuje životopis pojedinca po imenu ‘Xu Yiqing’.”
Geacon binarni program, kompajliran iz izvornog koda geacon_plus, sadrži mnoštvo funkcija koje mu omogućavaju preuzimanje payload-a sljedeće faze i eksfiltrovanje podataka, te olakšava mrežnu komunikaciju.
Drugi uzorak, prema kompaniji za kibernetičku bezbjednost, ugrađen je u trojanizovanu aplikaciju koja se maskira kao aplikacija za udaljenu podršku SecureLink, SecureLink.app, i uglavnom cilja na Intel uređaje.
Nepotpisana aplikacija traži od korisnika dozvolu za pristup kontaktima, fotografijama, podsjetnicima, kao i kameri i mikrofonu uređaja. Njegova glavna komponenta je Geacon payload izgrađen od geacon_pro projekta koji se povezuje na poznati komandno-kontrolni (C2) server u Japanu.
Razvoj dolazi jer je macOS ekosistem na meti širokog spektra hakera, uključujući grupe koje sponzoriše država, kako bi razmjestili backdoor i kradljivce informacija.
“Porast Geacon uzoraka u posljednjih nekoliko mjeseci sugeriše da bi sigurnosni timovi trebali obratiti pažnju na ovaj alat i osigurati adekvatnu zaštitu.”
Izvor: The Hacker News
