De seneste måneder har set en stigning i antallet af Geacon-nyttelast, der vises på VirusTotal, en Golang-implementering af Cobalt Strike, der er specielt designet til at målrette Apple macOS-systemer.
Ifølge SentinelOnes sikkerhedsforskere Phil Stokes og Dinesh Devadoss, nogle af disse nyttelast kan være en del af red-team operationer, mens andre udviser karakteristika af ægte ondsindede angreb. Fortras Cobalt Strike er et meget brugt rødt teaming og modstanders simuleringsværktøj, ogdet er ulovligt knækkede versioner er blevet misbrugt af ondsindede aktører i fortiden.
Mens aktiviteter efter udnyttelse, der involverer Cobalt Strike, normalt har været fokuseret på Windows-systemer, macOS er stort set blevet skånet for sådan aktivitet. I maj 2022, Softwareforsyningskædefirmaet Sonatype afslørede eksistensen af en slyngel Python-pakke kaldet “pymafka” der var i stand til at slippe en Cobalt Strike Beacon på Windows, MacOS, og Linux-værter.
Mere om Geacon
Siden februar 2020, Geacon, en Go-variant af Cobalt Strike, har været tilgængelig på GitHub. Hurtigt frem til april 2023, to nye VirusTotal-prøver blev tilskrevet to Geacon-varianter (geacon_plus og geacon_pro) som blev skabt af anonyme kinesiske udviklere – Z3ratu1 og H4de5 – sidst i oktober. Inden marts d 2023, Geacon_Pro-projektet var også på GitHub, og var i stand til at komme forbi populære antivirus-motorer som Microsoft Defender, Kaspersky, og Qihoo 360 360 Kerne krystal. Inden april d 2020, de offentligt tilgængelige Geacon_Plus og de private Geacon_Pro-projekter, begge udviklet af Z3ratu1, havde fået tæt på 1,000 stjerner og indgik i 404 Starlink projekt – et offentligt lager, der indeholder open source red-team og penetrationsværktøjer administreret af Zhizhi Chuangyu Laboratory.
Samme måned, to forskellige Geacon-nyttelaster blev indsendt til VirusTotal, vækker vores opmærksomhed, med en, der især viser tydelige tegn på en ondsindet kampagne. Geacon_Pro-projektet er ikke længere tilgængeligt på GitHub, men et Internet Archive snapshot af det blev taget i marts 6, 2023.
Afslutningsvis
Sikkerhedsteams i virksomheden bør drage fordel af angrebssimuleringsværktøjer såsom Cobalt Strike og dets macOS Go-tilpasning, Geacon, SentinelOnes rapport påpegede. Selvom det er sandsynligt, at brugen af Geacon er til legitime formål med rødt hold, det er også muligt, at trusselsaktører gør brug af de offentlige og private versioner af Geacon. Det stigende antal Geacon-prøver på det seneste viser, at sikkerhedshold bør være opmærksomme på dette værktøj og sørge for, at de nødvendige forholdsregler tages.