ここ数カ月間、VirusTotal に表示される Geacon ペイロードの数が増加しています。, Apple macOS システムをターゲットにするために特別に設計された Cobalt Strike の Golang 実装.
SentinelOne のセキュリティ研究者である Phil Stokes 氏と Dinesh Devadoss 氏によると、, これらのペイロードの一部はレッドチームの作戦の一部である可能性があります, 一方で、本物の悪意のある攻撃の特徴を示すものもあります. Fortra の Cobalt Strike は、広く使用されているレッド チーム化および敵対者シミュレーション ツールです, そしてその 違法にクラックされたバージョン 過去に悪意のある者によって悪用されたことがある.
Cobalt Strike に関係するエクスプロイト後の活動は通常、Windows システムに焦点を当ててきましたが、, macOS はそのような活動からほとんど免れてきました. 5月 2022, ソフトウェア サプライ チェーン企業 Sonatype は、「」と呼ばれる不正な Python パッケージの存在を明らかにしました。 “ピマフカ” Windows 上に Cobalt Strike Beacon を投下できる機能, マックOS, および Linux ホスト.
ジーコンについてさらに詳しく
2月以降 2020, ジーコン, Cobalt Strike の Go バージョン, GitHub で利用可能になりました. 4月に早送りします 2023, 2 つの新しい VirusTotal サンプルは 2 つの Geacon 亜種に起因すると考えられました (geacon_plus と geacon_pro) 匿名の中国人開発者によって作成されました – Z3ratu1 および H4de5 – 10月下旬. 3月までに 2023, Geacon_Pro プロジェクトも GitHub にありました, Microsoft Defender などの一般的なウイルス対策エンジンをすり抜けることができました。, カスペルスキー, そしてキホー 360 360 コアクリスタル. 4月までに 2020, 公開されている Geacon_Plus プロジェクトと非公開の Geacon_Pro プロジェクト, どちらも Z3ratu1 によって開発されました, に近づいた 1,000 に含まれていました。 404 スターリンクプロジェクト – Zhizhi Chuangyu Laboratory が管理するオープンソースのレッドチームと侵入ツールを含むパブリック リポジトリ.
同月, 2 つの異なる Geacon ペイロードが VirusTotal に送信されました, 私たちの注意を促す, 特に、悪意のあるキャンペーンの明らかな兆候が見られるもの. Geacon_Pro プロジェクトは GitHub からアクセスできなくなりました, ただし、インターネット アーカイブのスナップショットは 3 月に撮影されたものです 6, 2023.
結論は
企業のセキュリティ チームは、Cobalt Strike やその macOS Go 適応などの攻撃シミュレーション ツールを活用する必要があります。, ジーコン, SentinelOne のレポート 指摘した. Geacon の使用は正当なレッドチームの目的である可能性がありますが、, 脅威アクターが Geacon のパブリック バージョンとプライベート バージョンを利用している可能性もあります。. 最近 Geacon サンプルの数が増加していることは、セキュリティ チームがこのツールを認識し、必要な予防策が講じられていることを確認する必要があることを示しています。.