En los últimos meses se ha visto un aumento en la cantidad de cargas útiles de Geacon que aparecen en VirusTotal, una implementación Golang de Cobalt Strike diseñada específicamente para los sistemas Apple macOS.
Según los investigadores de seguridad de SentinelOne Phil Stokes y Dinesh Devadoss, algunas de estas cargas útiles pueden ser parte de las operaciones del equipo rojo, mientras que otros exhiben características de ataques maliciosos genuinos. Cobalt Strike de Fortra es una herramienta de simulación de adversarios y equipos rojos ampliamente utilizada, y es versiones pirateadas ilegalmente Han sido abusados por actores malintencionados en el pasado..
Si bien las actividades posteriores a la explotación que involucran a Cobalt Strike generalmente se han centrado en los sistemas Windows, macOS se ha librado en gran medida de tal actividad. En Mayo 2022, La firma de la cadena de suministro de software Sonatype reveló la existencia de un paquete Python malicioso llamado “pymafka” que fue capaz de dejar caer un Cobalt Strike Beacon en Windows, Mac OS, y servidores Linux.
Más sobre Geacon
Desde febrero 2020, Geacón, una variante Go de Cobalt Strike, ha estado disponible en GitHub. Avance rápido hasta abril 2023, dos nuevas muestras de VirusTotal se atribuyeron a dos variantes de Geacon (geacon_plus y geacon_pro) que fueron creados por desarrolladores chinos anónimos – Z3ratu1 y H4de5 – a finales de octubre. Para marzo de 2023, el proyecto Geacon_Pro también estaba en GitHub, y fue capaz de abrirse paso entre motores antivirus populares como Microsoft Defender, Kaspersky, y Qihoo 360 360 Cristal central. Para abril de 2020, los proyectos Geacon_Plus disponibles públicamente y Geacon_Pro privados, ambos desarrollados por Z3ratu1, había ganado cerca de 1,000 estrellas y se incluyeron en el 404 proyecto starlink – un repositorio público que contiene herramientas de penetración y de equipo rojo de código abierto administradas por el Laboratorio Zhizhi Chuangyu.
ese mismo mes, dos cargas útiles distintas de Geacon fueron enviadas a VirusTotal, llamando nuestra atención, con uno en particular que muestra signos claros de una campaña maliciosa. El proyecto Geacon_Pro ya no es accesible en GitHub, pero se tomó una instantánea de Internet Archive en marzo 6, 2023.
En conclusión
Los equipos de seguridad de la empresa deben aprovechar las herramientas de simulación de ataques como Cobalt Strike y su adaptación a macOS Go., Geacón, Informe de SentinelOne señalado. Si bien es probable que el uso de Geacon sea para fines legítimos del equipo rojo, también es posible que los actores de amenazas estén haciendo uso de las versiones pública y privada de Geacon. El creciente número de muestras de Geacon últimamente muestra que los equipos de seguridad deben conocer esta herramienta y asegurarse de que se toman las precauciones necesarias..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: