Cobalt Strike’ın Geacon adlı bir Golang uygulaması, Apple macOS sistemlerini hedeflemek isteyen tehdit aktörlerinin dikkatini çekmesi muhtemeldir.
Bulgular, son aylarda VirusTotal’da görünen Geacon yüklerinin sayısında bir artış gözlemleyen SentinelOne’dan geliyor.
Güvenlik araştırmacıları Phil Stokes ve Dinesh Devadoss bir raporda, “Bunlardan bazıları kırmızı ekip operasyonları olsa da, diğerleri gerçek kötü niyetli saldırıların özelliklerini taşıyor” dedi.
Cobalt Strike, Fortra tarafından geliştirilen, iyi bilinen bir kırmızı takım oluşturma ve düşman simülasyon aracıdır. İstismar sonrası sayısız yetenekleri sayesinde, yazılımın yasa dışı olarak kırılan sürümleri, yıllar boyunca tehdit aktörleri tarafından kötüye kullanıldı.
Cobalt Strike ile ilişkili sömürü sonrası etkinlik öncelikle Windows’u seçmiş olsa da, macOS’a yönelik bu tür saldırılar çok nadirdir.
Mayıs 2022’de yazılım tedarik zinciri şirketi Sonatype, güvenliği ihlal edilmiş Windows, macOS ve Linux ana bilgisayarlarına bir Cobalt Strike Beacon bırakmak için tasarlanmış “pymafka” adlı haydut bir Python paketinin ayrıntılarını açıkladı.
Ancak bu, Geacon eserlerinin vahşi doğada ortaya çıkmasıyla değişebilir. Geacon, Şubat 2020’den beri GitHub’da bulunan Cobalt Strike’ın bir Go çeşididir.
Nisan 2023’te yüklenen iki yeni VirusTotal örneğinin daha ayrıntılı analizi, kökenlerinin iki anonim Çinli geliştirici z3ratu1 ve H4de5 tarafından Ekim ayı sonlarında geliştirilen iki Geacon varyantına (geacon_plus ve geacon_pro) kadar izini sürdü.
geacon_pro projesine artık GitHub’da erişilemiyor, ancak 6 Mart 2023’te yakalanan bir İnternet Arşivi anlık görüntüsü, Microsoft Defender, Kaspersky ve Qihoo 360 360 Core Crystal gibi antivirüs motorlarını atlama yeteneğini ortaya koyuyor.
geacon_pro’nun arkasındaki geliştirici H4de5, aracın esas olarak CobaltStrike sürüm 4.1 ve sonraki sürümlerini desteklemek için tasarlandığını, geacon_plus ise CobaltStrike sürüm 4.0’ı desteklediğini iddia ediyor. Yazılımın güncel sürümü 4.8’dir.
SentinelOne tarafından keşfedilen eserlerden biri olan Xu Yiqing’in Resume_20230320.app uygulaması, uzak bir sunucuya ulaşmak ve bir Geacon yükünü indirmek için yalnızca çalışan bir AppleScript kullanır. Hem Apple silikon hem de Intel mimarileriyle uyumludur.
Araştırmacılar, “İmzasız Geacon yükü Çin’deki bir IP adresinden alındı” dedi. “İşaretleme etkinliğine başlamadan önce, kullanıcıya Geacon ikili dosyasına gömülü iki sayfalık bir sahte belge sunulur. ‘Xu Yiqing’ adlı kişinin özgeçmişini gösteren bir PDF açılır.”
geacon_plus kaynak kodundan derlenen Geacon ikili dosyası, sonraki aşama yüklerini indirmesine, verileri dışarı sızdırmasına ve ağ iletişimini kolaylaştırmasına izin veren çok sayıda işlevi bir araya getirir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Siber güvenlik firmasına göre ikinci örnek, SecureLink uzaktan destek uygulaması (SecureLink.app) kılığına giren ve esas olarak Intel cihazlarını hedefleyen, trojenleştirilmiş bir uygulamanın içine yerleştirilmiştir.
Barebone, imzasız uygulama, kullanıcıların kişilere, fotoğraflara, hatırlatıcılara ve ayrıca cihazın kamera ve mikrofonuna erişme izni istiyor. Ana bileşeni, Japonya’da bilinen bir komut ve kontrol (C2) sunucusuna bağlanan geacon_pro projesinden oluşturulmuş bir Geacon yüküdür.
Gelişme, macOS ekosisteminin arka kapılar ve bilgi hırsızları dağıtmak için devlet destekli gruplar da dahil olmak üzere çok çeşitli tehdit aktörleri tarafından hedef alınmasıyla ortaya çıkıyor.
“Geacon numunelerindeki son birkaç aydaki artış, güvenlik ekiplerinin bu araca dikkat etmesi ve korumaları olduğundan emin olması gerektiğini gösteriyor.”