In den letzten Monaten ist die Zahl der auf VirusTotal angezeigten Geacon-Payloads gestiegen, eine Golang-Implementierung von Cobalt Strike, die speziell für die Ausrichtung auf Apple macOS-Systeme entwickelt wurde.
Laut den Sicherheitsforschern von SentinelOne, Phil Stokes und Dinesh Devadoss, Einige dieser Nutzlasten könnten Teil von Red-Team-Operationen sein, während andere Merkmale echter böswilliger Angriffe aufweisen. Fortras Cobalt Strike ist ein weit verbreitetes rotes Teaming- und Gegnersimulationstool, und sein illegal geknackte Versionen wurden in der Vergangenheit von böswilligen Akteuren missbraucht.
Während sich die Post-Exploit-Aktivitäten im Zusammenhang mit Cobalt Strike in der Regel auf Windows-Systeme konzentrierten, macOS blieb von solchen Aktivitäten weitgehend verschont. Im Mai 2022, Das Software-Lieferkettenunternehmen Sonatype hat die Existenz eines betrügerischen Python-Pakets namens „ “pymafka” das in der Lage war, ein Cobalt Strike Beacon unter Windows abzuwerfen, Mac OS, und Linux-Hosts.
Mehr über Geacon
Seit Februar 2020, Geacon, eine Go-Variante von Cobalt Strike, ist auf GitHub verfügbar. Schneller Vorlauf zum April 2023, Zwei neue VirusTotal-Proben wurden zwei Geacon-Varianten zugeordnet (geacon_plus und geacon_pro) die von anonymen chinesischen Entwicklern erstellt wurden – Z3ratu1 und H4de5 – Ende Oktober. Bis März 2023, Das Geacon_Pro-Projekt war auch auf GitHub, und war in der Lage, gängige Antiviren-Engines wie Microsoft Defender zu überwinden, Kaspersky, und Qihoo 360 360 Kernkristall. Bis April 2020, die öffentlich zugänglichen Geacon_Plus- und die privaten Geacon_Pro-Projekte, beide entwickelt von Z3ratu1, hatte fast gewonnen 1,000 Sterne und wurden in die aufgenommen 404 Starlink-Projekt – ein öffentliches Repository, das Open-Source-Red-Team- und Penetrationstools enthält, die vom Zhizhi Chuangyu Laboratory verwaltet werden.
Im selben Monat, Es wurden zwei unterschiedliche Geacon-Nutzlasten an VirusTotal übermittelt, unsere Aufmerksamkeit erregen, wobei insbesondere eines davon deutliche Anzeichen einer böswilligen Kampagne aufwies. Das Geacon_Pro-Projekt ist auf GitHub nicht mehr zugänglich, aber ein Internetarchiv-Schnappschuss davon wurde im März gemacht 6, 2023.
Abschließend
Sicherheitsteams im Unternehmen sollten Angriffssimulationstools wie Cobalt Strike und seine macOS Go-Anpassung nutzen, Geacon, SentinelOnes Bericht wies darauf hin. Es ist zwar wahrscheinlich, dass die Nutzung von Geacon legitimen Red-Team-Zwecken dient, Es ist auch möglich, dass Bedrohungsakteure die öffentliche und private Version von Geacon nutzen. Die in letzter Zeit zunehmende Anzahl von Geacon-Beispielen zeigt, dass Sicherheitsteams sich dieses Tools bewusst sein und sicherstellen sollten, dass die erforderlichen Vorsichtsmaßnahmen getroffen werden.