Nos últimos meses, houve um aumento no número de cargas úteis do Geacon que aparecem no VirusTotal, uma implementação Golang do Cobalt Strike especificamente projetada para atingir os sistemas macOS da Apple.
De acordo com os pesquisadores de segurança do SentinelOne, Phil Stokes e Dinesh Devadoss, algumas dessas cargas úteis podem fazer parte de operações red-team, enquanto outros exibem características de ataques maliciosos genuínos. O Cobalt Strike da Fortra é uma ferramenta de simulação de equipes e adversários amplamente utilizada, e os seus versões crackeadas ilegalmente foram abusados por agentes mal-intencionados no passado.
Embora as atividades de pós-exploração envolvendo Cobalt Strike geralmente se concentrem em sistemas Windows, macOS foram amplamente poupados de tal atividade. Em maio 2022, a empresa de cadeia de suprimentos de software Sonatype revelou a existência de um pacote Python desonesto chamado “pymafka” que era capaz de lançar um Cobalt Strike Beacon no Windows, Mac OS, e hosts Linux.
Mais sobre Geacon
desde fevereiro 2020, geacon, uma variante Go de Cobalt Strike, está disponível no GitHub. Avanço rápido para abril 2023, duas novas amostras do VirusTotal foram atribuídas a duas variantes do Geacon (geacon_plus e geacon_pro) que foram criados por desenvolvedores chineses anônimos – Z3ratu1 e H4de5 – no final de outubro. Em março de 2023, o projeto Geacon_Pro também estava no GitHub, e foi capaz de ultrapassar mecanismos antivírus populares, como o Microsoft Defender, Kaspersky, e Qihoo 360 360 Núcleo de Cristal. Em abril de 2020, os projetos Geacon_Plus publicamente disponíveis e os projetos privados Geacon_Pro, ambos desenvolvidos por Z3ratu1, tinha ganho perto de 1,000 estrelas e foram incluídos no 404 Projeto Starlink – um repositório público que contém red-team de código aberto e ferramentas de penetração administradas pelo Laboratório Zhizhi Chuangyu.
Nesse mesmo mês, dois payloads Geacon distintos foram enviados ao VirusTotal, chamando nossa atenção, com um em particular exibindo sinais claros de uma campanha maliciosa. O projeto Geacon_Pro não está mais acessível no GitHub, mas um instantâneo do Internet Archive dele foi tirado em março 6, 2023.
Em conclusão
As equipes de segurança da empresa devem aproveitar as ferramentas de simulação de ataque, como o Cobalt Strike e sua adaptação para macOS Go, geacon, Relatório do SentinelOne apontou. Embora seja provável que o uso de Geacon seja para propósitos legítimos da equipe vermelha, também é possível que os agentes de ameaças estejam usando as versões pública e privada do Geacon. O número crescente de amostras de Geacon ultimamente mostra que as equipes de segurança devem estar cientes dessa ferramenta e garantir que os cuidados necessários sejam tomados.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: