Ces derniers mois ont vu une légère augmentation du nombre de charges utiles Geacon apparaissant sur VirusTotal, une implémentation Golang de Cobalt Strike spécialement conçue pour cibler les systèmes Apple macOS.
Selon les chercheurs en sécurité de SentinelOne, Phil Stokes et Dinesh Devadoss, certaines de ces charges utiles peuvent faire partie des opérations de l'équipe rouge, tandis que d'autres présentent les caractéristiques de véritables attaques malveillantes. Cobalt Strike de Fortra est un outil de simulation d'équipe rouge et d'adversaire largement utilisé, et son versions illégalement crackées ont été abusés par des acteurs malveillants dans le passé.
Alors que les activités de post-exploitation impliquant Cobalt Strike se sont généralement concentrées sur les systèmes Windows, macOS a été largement épargné par une telle activité. En mai 2022, La société de chaîne d'approvisionnement en logiciels Sonatype a révélé l'existence d'un package Python malveillant appelé “pymafka” qui était capable de déposer une balise Cobalt Strike sur Windows, macOS, et hôtes Linux.
En savoir plus sur Geacon
depuis Février 2020, Geacon, une variante Go de Cobalt Strike, est disponible sur GitHub. Avance rapide jusqu'en avril 2023, deux nouveaux échantillons de VirusTotal ont été attribués à deux variantes de Geacon (geacon_plus et geacon_pro) qui ont été créés par des développeurs chinois anonymes – Z3ratu1 et H4de5 – fin octobre. En mars de 2023, le projet Geacon_Pro était aussi sur GitHub, et était capable de se frayer un chemin devant les moteurs antivirus populaires tels que Microsoft Defender, Kaspersky, et Qihoo 360 360 Cristal de base. En avril de 2020, les projets publics Geacon_Plus et privés Geacon_Pro, tous deux développés par Z3ratu1, avait gagné près de 1,000 étoiles et ont été inclus dans le 404 Projet Starlink – un référentiel public contenant des outils open source d'équipe rouge et de pénétration administrés par le laboratoire Zhizhi Chuangyu.
Ce même mois, deux charges utiles Geacon distinctes ont été soumises à VirusTotal, attirant notre attention, avec un en particulier affichant des signes clairs d'une campagne malveillante. Le projet Geacon_Pro n'est plus accessible sur GitHub, mais un instantané Internet Archive de celui-ci a été pris en mars 6, 2023.
En conclusion
Les équipes de sécurité de l'entreprise devraient tirer parti des outils de simulation d'attaque tels que Cobalt Strike et son adaptation macOS Go, Geacon, Le rapport de SentinelOne souligné. Bien qu'il soit probable que l'utilisation de Geacon soit à des fins légitimes d'équipe rouge, il est également possible que les acteurs de la menace utilisent les versions publiques et privées de Geacon. Le nombre croissant d'échantillons Geacon ces derniers temps montre que les équipes de sécurité doivent être conscientes de cet outil et s'assurer que les précautions nécessaires sont prises.