Dikkat: Tehdit aktörleri, ilk olarak dört yıl önce GitHub’da ortaya çıkan ve büyük ölçüde radarın altında kalan Geacon adlı Cobalt Strike’ın bir Go-dil uygulamasını kullanıyor.
Son birkaç yılda Windows platformlarında istismar sonrası etkinlik için Cobalt Strike’ı kullandıkları gibi, macOS sistemlerini hedeflemek için red-teaming ve saldırı simülasyonu aracını kullanıyorlar.
SentinelOne’daki güvenlik araştırmacıları, son aylarda VirusTotal’da görünen birkaç Geacon yükünü tespit ettikten sonra bu haftaki etkinliği bildirdi. SentinelOne’ın numuneler üzerinde yaptığı analiz, bazılarının muhtemelen yasal kurumsal kırmızı ekip tatbikatlarıyla ilgili olduğunu, diğerlerinin ise kötü niyetli faaliyetin yapay ürünleri gibi göründüğünü gösterdi.
5 Nisan’da VirusTotal’a gönderilen kötü amaçlı bir örnek, Çin merkezli bir IP adresine sahip kötü amaçlı bir sunucudan imzasız bir Geacon yükü indiren “Xu Yiqing’s Resume_20230320.app” adlı bir AppleScript uygulamasıdır.
SentinelOne, uygulamanın Apple veya Intel silikon üzerinde çalışan macOS sistemleri için derlendiğini tespit etti. Uygulama, belirli bir macOS sisteminin mimarisini belirlemesine yardımcı olan mantık içerir, böylece o aygıt için belirli Geacon yükünü indirebilir. Derlenmiş Geacon ikili dosyasının kendisi, komut ve kontrol (C2) sunucusuna işaret etmeden önce Xu Yiqing adlı bir kişinin özgeçmişini görüntüleyen gömülü bir PDF içerir.
SentinelOne, “Derlenen Geacon ikili dosyası, ağ iletişimi, şifreleme, şifre çözme, daha fazla yük indirme ve veri sızdırma gibi görevler için çok sayıda işleve sahiptir” dedi.
Başka bir örnekte SentinelOne, SecureLink kurumsal uzaktan destek uygulamasının sahte bir sürümüne gömülü bir Geacon yükü keşfetti. Yük, 11 Nisan’da VirusTotal’da göründü ve yalnızca Intel tabanlı macOS sistemlerini hedef aldı. Önceki Geacon örneğinden farklı olarak SentinelOne, ikincisinin muhtemelen otomatikleştirilmiş bir araçla oluşturulmuş, basit, imzasız bir uygulama olduğunu gördü. Uygulama, kullanıcının cihazın kamerasına, mikrofonuna, yönetici ayrıcalıklarına ve genellikle macOS’un Şeffaflık, Rıza ve Kontrol çerçevesi altında korunan diğer ayarlara erişim izni vermesini gerektiriyordu. Bu örnekte, Geacon veri yükü, Japonya merkezli bir IP adresine sahip bilinen bir Cobalt Strike C2 sunucusuyla iletişim kurdu.
SentinelOne, “Gömülü bir açık kaynak saldırı çerçevesiyle SecureLink kılığına giren bir Truva Atı’nı ilk kez görmüyoruz” dedi. Güvenlik satıcısı, başka bir örnek olarak, geçen Eylül ayında macOS için sahte bir SecureLink ile gömülü Sliver adlı açık kaynaklı bir saldırı çerçevesinin keşfine işaret etti. “[Its] SentinelOne, kurumsal Mac’lerin artık çeşitli tehdit aktörleri tarafından geniş çapta hedef alındığını herkese hatırlatıyor” dedi.
Ani İlgi
Saldırganlar, Windows sistemlerinde komuta ve kontrol, yanal hareket, yük oluşturma ve açıktan yararlanma dağıtımı dahil olmak üzere çeşitli kötü niyetli yararlanma sonrası etkinlikler için uzun süredir Cobalt Strike’ı kullanıyor. Saldırganların zaman zaman macOS’u da hedeflemek için Cobalt Strike kullandığı durumlar olmuştur. Bir örnek, geçen yıl bir tehdit aktörünün PyPI kaydına “pymafka” adlı kötü amaçlı bir paket yükleyerek Cobalt Strike’ı Windows, Linux ve macOS sistemlerine dağıtmaya çalıştığı bir yazım hatası saldırısıdır.
Diğer durumlarda saldırganlar, saldırı zincirlerinin bir parçası olarak Mythic adlı macOS odaklı bir red-teaming aracı da kullandılar.
Geacon’un kendisinin dahil olduğu faaliyet, “z3ratu1” tanıtıcısını kullanan anonim bir Çinli araştırmacının geçen Ekim ayında iki Geacon çatalını piyasaya sürmesinden kısa bir süre sonra başladı – biri özel ve muhtemelen “geacon_pro” olarak adlandırılıyor ve diğeri geacon-plus olarak adlandırılıyor. SentinelOne’da kıdemli tehdit araştırmacısı olan Tom Hegel, profesyonel sürümün virüsten korunma ve öldürme önleme yetenekleri gibi bazı ek özellikler içerdiğini söylüyor.
Saldırganın Geacon’a olan ani ilgisini, z3ratu1’in yayınladığı bir blogda iki çatalı ve onun işini pazarlama girişimlerini anlatan bir bloga atfediyor. Orijinal Geacon projesinin kendisinin büyük ölçüde protokol analizi ve tersine mühendislik amaçları için olduğunu söylüyor.
Mac Saldırıları
Geacon’un artmakta olan kötü niyetli kullanımı, saldırganların macOS sistemlerine yönelik artan ilgi modeline uyuyor.
Bu yılın başlarında Uptycs’teki araştırmacılar, “MacStealer” adlı yeni bir Mac kötü amaçlı yazılım örneğinin, adına uygun olarak Apple kullanıcılarından belgeleri, iCloud anahtarlık verilerini, tarayıcı tanımlama bilgilerini ve diğer verileri çaldığını bildirdi. Nisan ayında, “Lockbit” operatörleri, kötü amaçlı yazılımlarının Mac sürümünü geliştiren ilk büyük fidye yazılımı aktörü oldu ve diğerlerinin de takip etmesi için zemin hazırladı. Ve geçen yıl, Kuzey Kore’nin kötü şöhretli Lazarus Grubu, Apple Mac’leri hedef almaya başlayan bilinen ilk devlet destekli gruplar arasında yer aldı.
SentinelOne, kuruluşların kötü amaçlı Geacon yüklerini belirlemesine yardımcı olmak için bir dizi gösterge yayınladı.