Golang’da yazılmış bir Cobalt Strike uygulaması olan Geacon, savunmasız macOS cihazları arayan tehdit aktörlerinin dikkatini çekecek gibi görünüyor.
Tehdit aktörleri, bilgi güvenliği endüstrisinin durdurmaya yönelik süregelen çabalarına rağmen yıllardır Windows PC’leri ihlal etmek için Cobalt Strike’ı kullanıyor.
Son zamanlarda VirusTotal’da tespit edilen Geacon yüklerinin sayısında bir artış gördükten sonra SentinelOne’ın sonuçları bunu doğruluyor.
SentinelOne, “Bunlardan bazıları muhtemelen kırmızı ekip operasyonları olsa da, diğerleri gerçek kötü niyetli saldırıların özelliklerini taşıyor” diyor.
Fortra, iyi bilinen bir kırmızı ekip oluşturma ve düşman simülasyon aracı olan Cobalt Strike’ı yarattı. Tehdit aktörleri, sahip oldukları pek çok yetenek nedeniyle, yazılımın yasa dışı olarak kırılmış sürümlerini uzun süredir kötüye kullanıyor.
Cobalt Strike’ın sömürü sonrası faaliyetleri çoğunlukla Windows’u hedef alırken, macOS’a yönelik saldırılar oldukça nadirdir.
Geacon, ilk olarak GitHub’da ortaya çıkan gelecek vaat eden bir Cobalt Strike bağlantı noktasıydı, ancak pek çok bilgisayar korsanı bununla ilgileniyor gibi görünmüyordu.
SentinelOne, bunun Nisan ayında kimliği belirsiz Çinli geliştiriciler tarafından GitHub’a yüklenen iki Geacon çatalının (ücretsiz ve herkesin erişebileceği bir sürüm olan Geacon Plus ve özel, ücretli bir sürüm olan Geacon Pro) bir sonucu olarak değiştiğini belirtiyor.
Virus Total’den alınan geçmiş verilere göre, çatalın ücretsiz sürümü için Mach-O yüklerinin Kasım 2022’den beri geliştirilmekte olduğu bildiriliyor.
Geacon çatalı, 2020’den beri Zhizhi Chuangyu Laboratuvarı tarafından sürdürülen kırmızı takım pen-test araçlarına adanmış halka açık bir GitHub deposu olan ‘404 Starlink projesine’ eklendi.
Bu ekleme, Geacon çatalının popülaritesindeki artışa katkıda bulundu ve görünüşe göre kötü niyetli kullanıcıları cezbetti.
Kötü Amaçlı Geacon Dağıtımı
SentinelOne’a göre, 5 Nisan ve 11 Nisan tarihlerinde yapılan iki VirusTotal gönderimi, iki adet kötü amaçlı Geacon konuşlandırması içeriyordu.
İlki, Çinli bir komut ve kontrol (C2) sunucusundan imzasız bir “Geacon Plus” yükü indirmeden önce bir macOS sisteminin desteklenip desteklenmediğini kontrol eden “Xu Yiqing’s Resume_20230320.app” adlı bir AppleScript uygulama dosyasıdır. IP adresi.
Kullanıcıya, işaretleme etkinliğine başlamadan önce Geacon ikili dosyasına entegre edilmiş iki sayfalık bir sahte belge gösterilir. “Xu Yiqing” adlı kişinin özgeçmişi, açılmış bir PDF belgesinde görünüyor.
Araştırmacılar, “Derlenmiş Geacon ikili dosyası, ağ iletişimi, şifreleme, şifre çözme, daha fazla yük indirme ve veri sızdırma gibi görevler için çok sayıda işleve sahiptir” diye açıklıyor.
İkinci yük, “Geacon Pro”nun bir kopyası da dahil olmak üzere, SecureLink.app ve SecureLink_Client adlı güvenli uzaktan destek için kullanılan SecureLink uygulamasının truva atına dönüştürülmüş bir sürümüdür.
Bu örnekteki ikili, yalnızca Intel tabanlı sistemler olan Mac OS X 10.9 (Mavericks) ve sonraki sürümleri destekler.
Uygulama, başlatıldığında bilgisayarın mikrofonuna, kamerasına, kişilerine, resimlerine, hatırlatıcılarına ve yönetici haklarına erişim ister, ancak bu özellikler genellikle Apple’ın Şeffaflık, Rıza ve Kontrol (TCC) gizlilik çerçevesi kapsamındadır.
Bunlar son derece tehlikeli izinler olsa da, sahte uygulama türü, kullanıcının şüphesinin giderilmesine olanak tanır ve bu da onları uygulamanın isteğini onaylamaları için kandırır.
Son sözler
Araştırmacılar, kurumsal güvenlik ekiplerinin Cobalt Strike ve macOS Go uyarlaması Geacon gibi saldırı simülasyon araçlarından yararlanabileceğini söylüyor.
“Bu araç etrafında gözlemlediğimiz faaliyetlerin bir kısmının meşru kırmızı takım kullanımı olması muhtemeldir, ancak gerçek tehdit aktörlerinin kamuyu ve hatta Geacon’un şu anda kendilerine sunulan özel çatallarını kullanması da muhtemeldir. ” araştırmacılar.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin