In de afgelopen maanden is het aantal Geacon-payloads op VirusTotal gestegen, een Golang-implementatie van Cobalt Strike, speciaal ontworpen voor Apple macOS-systemen.
Volgens de beveiligingsonderzoekers Phil Stokes en Dinesh Devadoss van SentinelOne, sommige van deze ladingen kunnen deel uitmaken van operaties van het rode team, terwijl andere kenmerken vertonen van echte kwaadaardige aanvallen. Fortra's Cobalt Strike is een veelgebruikt hulpmiddel voor het simuleren van rode teams en tegenstanders, en zijn illegaal gekraakte versies zijn in het verleden misbruikt door kwaadwillende actoren.
Terwijl post-exploitatieactiviteiten waarbij Cobalt Strike betrokken was, meestal gericht waren op Windows-systemen, macOS is grotendeels gespaard gebleven van dergelijke activiteiten. In mei 2022, software supply chain-bedrijf Sonatype onthulde het bestaan van een malafide Python-pakket genaamd “pymafka” die in staat was om een Cobalt Strike Beacon op Windows te laten vallen, MacOS, en Linux-hosts.
Meer over Geacon
sinds februari 2020, Geacon, een Go-variant van Cobalt Strike, is beschikbaar op GitHub. Snel doorspoelen naar april 2023, twee nieuwe VirusTotal-samples werden toegeschreven aan twee Geacon-varianten (geacon_plus en geacon_pro) die zijn gemaakt door anonieme Chinese ontwikkelaars – Z3ratu1 en H4de5 – eind oktober. Tegen maart van 2023, het Geacon_Pro-project stond ook op GitHub, en was in staat om voorbij populaire antivirus-engines zoals Microsoft Defender te komen, Kaspersky, en Qihoo 360 360 Kern kristal. Tegen april van 2020, de openbaar beschikbare Geacon_Plus- en de particuliere Geacon_Pro-projecten, beide ontwikkeld door Z3ratu1, dichtbij was gekomen 1,000 sterren en werden opgenomen in de 404 Starlink-project – een openbare repository die open-source red-team- en penetratietools bevat die worden beheerd door het Zhizhi Chuangyu-laboratorium.
Diezelfde maand, er zijn twee verschillende Geacon-payloads ingediend bij VirusTotal, onze aandacht trekken, met een in het bijzonder die duidelijke tekenen van een kwaadaardige campagne vertoont. Het Geacon_Pro-project is niet langer toegankelijk op GitHub, maar er werd in maart een momentopname van gemaakt op het internetarchief 6, 2023.
Ten slotte
Beveiligingsteams in de onderneming zouden moeten profiteren van aanvalssimulatietools zoals Cobalt Strike en zijn macOS Go-aanpassing, Geacon, Het rapport van SentinelOne wees erop. Hoewel het waarschijnlijk is dat het gebruik van Geacon voor legitieme rode teamdoeleinden is, het is ook mogelijk dat dreigingsactoren gebruik maken van de publieke en private versies van Geacon. Het toenemende aantal Geacon-samples de laatste tijd laat zien dat beveiligingsteams op de hoogte moeten zijn van deze tool en ervoor moeten zorgen dat de nodige voorzorgsmaatregelen worden genomen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: