一個名為Geacon的Golang Cobalt Strike實施很可能會引起針對Apple macOS系統的威脅參與者的注意。
這是根據SentinelOne的調查結果,它觀察到最近幾個月出現在ViRustotal上的Geacon有效載荷數量增加。
安全研究人員Phil Stokes和Dinesh Devadoss在一份報告中說:“雖然其中一些可能是紅衫軍的行動,但其他人則具有真正惡意攻擊的特征。”
Cobalt Strike是一款著名的紅色組隊和敵手模擬工具,由Fortra開發。由于其無數的能力,非法破解版本的軟件已被濫用的威脅行動者多年來。
雖然與Cobalt Strike相關的后利用活動主要針對windows,但針對macOS的此類攻擊非常罕見。
2022年5月,軟件供應鏈公司Sonatype披露了一個名為“pymafka”的流氓Python/ target=_blank class=infotextkey>Python軟件包的細節,該軟件包被設計用于在被入侵的Windows、macOS和linux主機上投放Cobalt Strike Beacon。
然而,隨著Geacon人工制品在野外的出現,這種情況可能會發生改變。Geacon是Cobalt Strike的Go變體,于2020年2月在Github上發布。
對2023年4月上傳的兩個新VirusTotal樣本的進一步分析發現,它們的起源可追溯到兩個Geacon變種(geacon_plus和geacon_pro),這兩個變種是由兩名匿名的中國開發人員z3ratu1和H4de5在10月底開發的。
Geacon_pro項目在GitHub上不再可訪問,但互聯網檔案館在2023年3月6日捕獲的快照顯示,它能夠繞過反病毒引擎,如微軟Defender、卡巴斯基和奇虎360 360 360酷睿晶。
開發人員H4de5聲稱,該工具主要用于支持CobaltStrike版本4.1及更高版本,而geaconplus則支持CobaltStrike版本4.0。該軟件的當前版本為4.8。
許某某的簡歷_20230320.app是SentinelOne發現的工件之一,它使用一個僅運行的AppleScript來連接遠程服務器并下載一個Gecon有效負載。它與蘋果硅和英特爾的架構兼容。
研究人員說:“未簽名的”地理信息載體“的有效載荷是從中國的IP地址中檢索出來的。”“在開始信標活動之前,用戶會收到一份兩頁長的誘餌文件,嵌入在Gecon二進制文件中。打開一個PDF,顯示一個名為”許某某“的人的簡歷。”
由geacon_plus源代碼編譯的gecon二進制文件包含多種功能,使其能夠下載下一階段的有效載荷和抽取數據,并方便網絡通信。
根據網絡安全公司的說法,第二個示例是嵌入在一個偽裝成SecureLINK遠程支持應用程序(SecureLink.app)并主要針對英特爾設備的特洛伊化應用程序中。
這些基本的、未經簽名的應用程序請求用戶允許訪問聯系人、照片、提醒以及設備的照相機和麥克風。它的主要組件是一個由geacon_pro項目構建的、連接到日本已知的命令和控制(C2)服務器的新的Gecon有效載荷。
在這一發展的同時,MacOS生態系統正被包括國家贊助的團體在內的各種潛在威脅行為者瞄準,以部署后門和信息竊取者。
研究人員說:“過去幾個月來,Gecon樣本的上升表明,安全團隊應該關注這一工具,并確保他們的保護措施到位。”
