In den letzten Monaten ist die Zahl der auf VirusTotal angezeigten Geacon-Payloads gestiegen, eine Golang-Implementierung von Cobalt Strike, die speziell für die Ausrichtung auf Apple macOS-Systeme entwickelt wurde.
Laut den Sicherheitsforschern von SentinelOne, Phil Stokes und Dinesh Devadoss, Einige dieser Nutzlasten könnten Teil von Red-Team-Operationen sein, während andere Merkmale echter böswilliger Angriffe aufweisen. Fortras Cobalt Strike ist ein weit verbreitetes rotes Teaming- und Gegnersimulationstool, und sein illegal geknackte Versionen wurden in der Vergangenheit von böswilligen Akteuren missbraucht.
Während sich die Post-Exploit-Aktivitäten im Zusammenhang mit Cobalt Strike in der Regel auf Windows-Systeme konzentrierten, macOS blieb von solchen Aktivitäten weitgehend verschont. Im Mai 2022, Das Software-Lieferkettenunternehmen Sonatype hat die Existenz eines betrügerischen Python-Pakets namens „ “pymafka” das in der Lage war, ein Cobalt Strike Beacon unter Windows abzuwerfen, Mac OS, und Linux-Hosts.
Mehr über Geacon
Seit Februar 2020, Geacon, eine Go-Variante von Cobalt Strike, ist auf GitHub verfügbar. Schneller Vorlauf zum April 2023, Zwei neue VirusTotal-Proben wurden zwei Geacon-Varianten zugeordnet (geacon_plus und geacon_pro) die von anonymen chinesischen Entwicklern erstellt wurden – Z3ratu1 und H4de5 – Ende Oktober. Bis März 2023, Das Geacon_Pro-Projekt war auch auf GitHub, und war in der Lage, gängige Antiviren-Engines wie Microsoft Defender zu überwinden, Kaspersky, und Qihoo 360 360 Kernkristall. Bis April 2020, die öffentlich zugänglichen Geacon_Plus- und die privaten Geacon_Pro-Projekte, beide entwickelt von Z3ratu1, hatte fast gewonnen 1,000 Sterne und wurden in die aufgenommen 404 Starlink-Projekt – ein öffentliches Repository, das Open-Source-Red-Team- und Penetrationstools enthält, die vom Zhizhi Chuangyu Laboratory verwaltet werden.
Im selben Monat, Es wurden zwei unterschiedliche Geacon-Nutzlasten an VirusTotal übermittelt, unsere Aufmerksamkeit erregen, wobei insbesondere eines davon deutliche Anzeichen einer böswilligen Kampagne aufwies. Das Geacon_Pro-Projekt ist auf GitHub nicht mehr zugänglich, aber ein Internetarchiv-Schnappschuss davon wurde im März gemacht 6, 2023.
Abschließend
Sicherheitsteams im Unternehmen sollten Angriffssimulationstools wie Cobalt Strike und seine macOS Go-Anpassung nutzen, Geacon, SentinelOnes Bericht wies darauf hin. Es ist zwar wahrscheinlich, dass die Nutzung von Geacon legitimen Red-Team-Zwecken dient, Es ist auch möglich, dass Bedrohungsakteure die öffentliche und private Version von Geacon nutzen. Die in letzter Zeit zunehmende Anzahl von Geacon-Beispielen zeigt, dass Sicherheitsteams sich dieses Tools bewusst sein und sicherstellen sollten, dass die erforderlichen Vorsichtsmaßnahmen getroffen werden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: