一个名为Geacon的Golang Cobalt Strike实施很可能会引起针对Apple macOS系统的威胁参与者的注意。
这是根据SentinelOne的调查结果,它观察到最近几个月出现在VirusTotal上的Geacon有效载荷数量增加。
安全研究人员Phil Stokes和Dinesh Devadoss在一份报告中说:“虽然其中一些可能是红衫军的行动,但其他人则具有真正恶意攻击的特征。”
Cobalt Strike是一款著名的红色组队和敌手模拟工具,由Fortra开发。由于其无数的能力,非法破解版本的软件已被滥用的威胁行动者多年来。
虽然与Cobalt Strike相关的后利用活动主要针对Windows,但针对macOS的此类攻击非常罕见。
2022年5月,软件供应链公司Sonatype披露了一个名为“pymafka”的流氓Python软件包的细节,该软件包被设计用于在被入侵的Windows、macOS和Linux主机上投放Cobalt Strike Beacon。
然而,随着Geacon人工制品在野外的出现,这种情况可能会发生改变。Geacon是Cobalt Strike的Go变体,于2020年2月在GitHub上发布。
对2023年4月上传的两个新VirusTotal样本的进一步分析发现,它们的起源可追溯到两个Geacon变种(geacon_plus和geacon_pro),这两个变种是由两名匿名的中国开发人员z3ratu1和H4de5在10月底开发的。
Geacon_pro项目在GitHub上不再可访问,但互联网档案馆在2023年3月6日捕获的快照显示,它能够绕过反病毒引擎,如微软Defender、卡巴斯基和奇虎360 360 360酷睿晶。
开发人员H4de5声称,该工具主要用于支持CobaltStrike版本4.1及更高版本,而geaconplus则支持CobaltStrike版本4.0。该软件的当前版本为4.8。
许某某的简历_20230320.app是SentinelOne发现的工件之一,它使用一个仅运行的AppleScript来连接远程服务器并下载一个Gecon有效负载。它与苹果硅和英特尔的架构兼容。
研究人员说:“未签名的”地理信息载体“的有效载荷是从中国的IP地址中检索出来的。”“在开始信标活动之前,用户会收到一份两页长的诱饵文件,嵌入在Gecon二进制文件中。打开一个PDF,显示一个名为”许某某“的人的简历。”
由geacon_plus源代码编译的gecon二进制文件包含多种功能,使其能够下载下一阶段的有效载荷和抽取数据,并方便网络通信。
根据网络安全公司的说法,第二个示例是嵌入在一个伪装成SecureLINK远程支持应用程序(SecureLink.app)并主要针对英特尔设备的特洛伊化应用程序中。
这些基本的、未经签名的应用程序请求用户允许访问联系人、照片、提醒以及设备的照相机和麦克风。它的主要组件是一个由geacon_pro项目构建的、连接到日本已知的命令和控制(C2)服务器的新的Gecon有效载荷。
在这一发展的同时,MacOS生态系统正被包括国家赞助的团体在内的各种潜在威胁行为者瞄准,以部署后门和信息窃取者。
研究人员说:“过去几个月来,Gecon样本的上升表明,安全团队应该关注这一工具,并确保他们的保护措施到位。”