Negli ultimi mesi si è assistito a un aumento del numero di payload Geacon visualizzati su VirusTotal, un'implementazione Golang di Cobalt Strike specificamente progettata per colpire i sistemi Apple macOS.
Secondo i ricercatori di sicurezza di SentinelOne, Phil Stokes e Dinesh Devadoss, alcuni di questi carichi utili potrebbero far parte delle operazioni della squadra rossa, mentre altri presentano caratteristiche di veri e propri attacchi dannosi. Cobalt Strike di Fortra è uno strumento di simulazione del team rosso e dell'avversario ampiamente utilizzato, e il suo versioni craccate illegalmente sono stati abusati da malintenzionati in passato.
Mentre le attività post-sfruttamento che coinvolgono Cobalt Strike si sono generalmente concentrate sui sistemi Windows, macOS è stato in gran parte risparmiato da tale attività. A maggio 2022, Sonatype, società di supply chain software, ha rivelato l'esistenza di un pacchetto Python canaglia chiamato “pymafka” che era in grado di far cadere un Cobalt Strike Beacon su Windows, Mac OS, e host Linux.
Maggiori informazioni su Geacon
Dal febbraio 2020, Geacono, una variante Go di Cobalt Strike, è disponibile su GitHub. Avanti veloce ad aprile 2023, due nuovi campioni di VirusTotal sono stati attribuiti a due varianti di Geacon (geacon_plus e geacon_pro) che sono stati creati da sviluppatori cinesi anonimi – Z3ratu1 e H4de5 – a fine ottobre. Entro marzo del 2023, il progetto Geacon_Pro era anche su GitHub, ed è stato in grado di superare popolari motori antivirus come Microsoft Defender, Kaspersky, e Qihoo 360 360 Nucleo di cristallo. Entro aprile del 2020, i progetti pubblici Geacon_Plus e privati Geacon_Pro, entrambi sviluppati da Z3ratu1, aveva guadagnato vicino a 1,000 stelle e sono stati inclusi nel 404 Progetto Starlink – un archivio pubblico che contiene strumenti di penetrazione e red-team open source amministrati dallo Zhizhi Chuangyu Laboratory.
Quello stesso mese, due distinti payload Geacon sono stati inviati a VirusTotal, sollecitando la nostra attenzione, con uno in particolare che mostra chiari segni di una campagna dannosa. Il progetto Geacon_Pro non è più accessibile su GitHub, ma un'istantanea di Internet Archive è stata scattata a marzo 6, 2023.
In conclusione
I team di sicurezza nell'azienda dovrebbero sfruttare gli strumenti di simulazione degli attacchi come Cobalt Strike e il suo adattamento macOS Go, Geacono, Il rapporto di SentinelOne sottolineato. Mentre è probabile che l'utilizzo di Geacon sia per scopi legittimi della squadra rossa, è anche possibile che gli attori delle minacce utilizzino le versioni pubbliche e private di Geacon. Il numero crescente di campioni di Geacon negli ultimi tempi mostra che i team di sicurezza dovrebbero essere a conoscenza di questo strumento e assicurarsi che vengano prese le precauzioni necessarie.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: