- 9,278
- 18
- 8 Ноя 2022
Долгое время никому не нужный инструмент внезапно начал набирать популярность у киберпреступников.
В последнее время среди киберпреступников, нацеленных на macOS, всё больше набирает популярность инструмент Geacon , реализация утилиты Beacon из пакета Cobalt Strike на языке Go .
Специалисты по безопасности из компании SentinelOne Для просмотра ссылки Войдиили Зарегистрируйся активность Geacon в сети и обнаружили увеличение количества вредоносных образцов на VirusTotal. Некоторые из них были связаны с легитимными операциями специалистов по Red Teaming , когда как другие — со злонамеренными атаками.
Первая версия Geacon появилась на GitHub как перспективный порт Beacon для Cobalt Strike под macOS, но не сыскала большого интереса у специалистов кибербезопасности. Однако, по данным SentinelOne, ситуация изменилась в апреле этого года, когда анонимные китайские разработчики опубликовали на GitHub две ветви Geacon: Geacon Plus — бесплатную и открытую, и Geacon Pro — приватную и платную.
Недавно ветвь Geacon была добавлена в «404 Starlink project», публичный репозиторий GitHub, посвященный инструментам для тестирования на проникновение, который поддерживается Лабораторией Zhizhi Chuangyu с 2020 года. Это повысило популярность ветви Geacon и, по-видимому, привлекло внимание злоумышленников.
Специалисты SentinelOne обнаружили два случая злонамеренного использования Geacon. Вредоносные образцы были загружены на VirusTotal 5 и 11 апреля.
Первый образец — это файл AppleScript Applet с названием «Xu Yiqing’s Resume_20230320.app», который перед загрузкой неподписанного образазца Geacon Plus с C2-сервера злоумышленника проверяет, что он точно запускается на macOS-системе.
К слову, IP-адрес C2-сервера, как отметили исследователи, был китайским. Специалисты также выяснили, что данный адрес ранее был связан с атаками Cobalt Strike на устройства Windows.
Перед началом «маячковой активности» образец показывает жертве поддельный PDF-файл — резюме человека по имени Xu Yiqing. Образец Geacon поддерживает сетевое общение, шифрование и расшифровку данных, может скачивать дополнительную полезную нагрузку, а также выгружать данные с зараженной системы.
Второй образец — это SecureLink.app и SecureLink_Client, троянизированная версия приложения SecureLink, используемого для безопасной удалённой поддержки, которое содержит уже копию «Geacon Pro».
В этом случае бинарный файл нацелен только на устройства Intel с операционной системой Mac OS X 10.9 (Mavericks) и выше. При запуске приложение запрашивает доступ к камере, микрофону, контактам, фотографиям, напоминаниям и даже административным привилегиям компьютера, которые обычно защищены фреймворком TCC . И хотя это довольно рискованные разрешения, но так как приложение притворяется SecureLink с поддержкой RDP , это может уменьшить подозрения пользователя и заставить его выдать все необходимые разрешения.
У этого образца IP-адрес C2-сервера находится уже в Японии, а VirusTotal также связывает его с прошлыми вредоносными операциями Cobalt Strike.
Хотя SentinelOne соглашается, что некоторая наблюдаемая активность Geacon может быть связана с легитимными операциями Red Teaming специалистов, есть большая вероятность того, что вполне реальные киберпреступники прямо сейчас активно эксплуатируют как публичные, так и приватные ветви Geacon. Увеличение количества получаемых образцов Geacon в VirusTotal за последние несколько месяцев лишь подтверждают это предположение.
Исследователи SentinelOne предоставили список IoC -индикаторов в Для просмотра ссылки Войдиили Зарегистрируйся , чтобы другие специалисты могли использовать их для создания надлежащей защиты от угроз с использованием Geacon.
В последнее время среди киберпреступников, нацеленных на macOS, всё больше набирает популярность инструмент Geacon , реализация утилиты Beacon из пакета Cobalt Strike на языке Go .
Специалисты по безопасности из компании SentinelOne Для просмотра ссылки Войди
Первая версия Geacon появилась на GitHub как перспективный порт Beacon для Cobalt Strike под macOS, но не сыскала большого интереса у специалистов кибербезопасности. Однако, по данным SentinelOne, ситуация изменилась в апреле этого года, когда анонимные китайские разработчики опубликовали на GitHub две ветви Geacon: Geacon Plus — бесплатную и открытую, и Geacon Pro — приватную и платную.
Недавно ветвь Geacon была добавлена в «404 Starlink project», публичный репозиторий GitHub, посвященный инструментам для тестирования на проникновение, который поддерживается Лабораторией Zhizhi Chuangyu с 2020 года. Это повысило популярность ветви Geacon и, по-видимому, привлекло внимание злоумышленников.
Специалисты SentinelOne обнаружили два случая злонамеренного использования Geacon. Вредоносные образцы были загружены на VirusTotal 5 и 11 апреля.
Первый образец — это файл AppleScript Applet с названием «Xu Yiqing’s Resume_20230320.app», который перед загрузкой неподписанного образазца Geacon Plus с C2-сервера злоумышленника проверяет, что он точно запускается на macOS-системе.
К слову, IP-адрес C2-сервера, как отметили исследователи, был китайским. Специалисты также выяснили, что данный адрес ранее был связан с атаками Cobalt Strike на устройства Windows.
Перед началом «маячковой активности» образец показывает жертве поддельный PDF-файл — резюме человека по имени Xu Yiqing. Образец Geacon поддерживает сетевое общение, шифрование и расшифровку данных, может скачивать дополнительную полезную нагрузку, а также выгружать данные с зараженной системы.
Второй образец — это SecureLink.app и SecureLink_Client, троянизированная версия приложения SecureLink, используемого для безопасной удалённой поддержки, которое содержит уже копию «Geacon Pro».
В этом случае бинарный файл нацелен только на устройства Intel с операционной системой Mac OS X 10.9 (Mavericks) и выше. При запуске приложение запрашивает доступ к камере, микрофону, контактам, фотографиям, напоминаниям и даже административным привилегиям компьютера, которые обычно защищены фреймворком TCC . И хотя это довольно рискованные разрешения, но так как приложение притворяется SecureLink с поддержкой RDP , это может уменьшить подозрения пользователя и заставить его выдать все необходимые разрешения.
У этого образца IP-адрес C2-сервера находится уже в Японии, а VirusTotal также связывает его с прошлыми вредоносными операциями Cobalt Strike.
Хотя SentinelOne соглашается, что некоторая наблюдаемая активность Geacon может быть связана с легитимными операциями Red Teaming специалистов, есть большая вероятность того, что вполне реальные киберпреступники прямо сейчас активно эксплуатируют как публичные, так и приватные ветви Geacon. Увеличение количества получаемых образцов Geacon в VirusTotal за последние несколько месяцев лишь подтверждают это предположение.
Исследователи SentinelOne предоставили список IoC -индикаторов в Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
