Новости Исследователи фиксируют рост случаев злонамеренного использования Geacon против компьютеров на macOS

NewsMaker

I'm just a script
Премиум
13,896
20
8 Ноя 2022
Долгое время никому не нужный инструмент внезапно начал набирать популярность у киберпреступников.


pe9s0d63181nwnn4q6bpxnepwajn9ov8.jpg


В последнее время среди киберпреступников, нацеленных на macOS, всё больше набирает популярность инструмент Geacon , реализация утилиты Beacon из пакета Cobalt Strike на языке Go .

Специалисты по безопасности из компании SentinelOne Для просмотра ссылки Войди или Зарегистрируйся активность Geacon в сети и обнаружили увеличение количества вредоносных образцов на VirusTotal. Некоторые из них были связаны с легитимными операциями специалистов по Red Teaming , когда как другие — со злонамеренными атаками.

Первая версия Geacon появилась на GitHub как перспективный порт Beacon для Cobalt Strike под macOS, но не сыскала большого интереса у специалистов кибербезопасности. Однако, по данным SentinelOne, ситуация изменилась в апреле этого года, когда анонимные китайские разработчики опубликовали на GitHub две ветви Geacon: Geacon Plus — бесплатную и открытую, и Geacon Pro — приватную и платную.

Недавно ветвь Geacon была добавлена в «404 Starlink project», публичный репозиторий GitHub, посвященный инструментам для тестирования на проникновение, который поддерживается Лабораторией Zhizhi Chuangyu с 2020 года. Это повысило популярность ветви Geacon и, по-видимому, привлекло внимание злоумышленников.

Специалисты SentinelOne обнаружили два случая злонамеренного использования Geacon. Вредоносные образцы были загружены на VirusTotal 5 и 11 апреля.

Первый образец — это файл AppleScript Applet с названием «Xu Yiqing’s Resume_20230320.app», который перед загрузкой неподписанного образазца Geacon Plus с C2-сервера злоумышленника проверяет, что он точно запускается на macOS-системе.

К слову, IP-адрес C2-сервера, как отметили исследователи, был китайским. Специалисты также выяснили, что данный адрес ранее был связан с атаками Cobalt Strike на устройства Windows.

Перед началом «маячковой активности» образец показывает жертве поддельный PDF-файл — резюме человека по имени Xu Yiqing. Образец Geacon поддерживает сетевое общение, шифрование и расшифровку данных, может скачивать дополнительную полезную нагрузку, а также выгружать данные с зараженной системы.

Второй образец — это SecureLink.app и SecureLink_Client, троянизированная версия приложения SecureLink, используемого для безопасной удалённой поддержки, которое содержит уже копию «Geacon Pro».

В этом случае бинарный файл нацелен только на устройства Intel с операционной системой Mac OS X 10.9 (Mavericks) и выше. При запуске приложение запрашивает доступ к камере, микрофону, контактам, фотографиям, напоминаниям и даже административным привилегиям компьютера, которые обычно защищены фреймворком TCC . И хотя это довольно рискованные разрешения, но так как приложение притворяется SecureLink с поддержкой RDP , это может уменьшить подозрения пользователя и заставить его выдать все необходимые разрешения.

У этого образца IP-адрес C2-сервера находится уже в Японии, а VirusTotal также связывает его с прошлыми вредоносными операциями Cobalt Strike.

Хотя SentinelOne соглашается, что некоторая наблюдаемая активность Geacon может быть связана с легитимными операциями Red Teaming специалистов, есть большая вероятность того, что вполне реальные киберпреступники прямо сейчас активно эксплуатируют как публичные, так и приватные ветви Geacon. Увеличение количества получаемых образцов Geacon в VirusTotal за последние несколько месяцев лишь подтверждают это предположение.

Исследователи SentinelOne предоставили список IoC -индикаторов в Для просмотра ссылки Войди или Зарегистрируйся , чтобы другие специалисты могли использовать их для создания надлежащей защиты от угроз с использованием Geacon.
 
Источник новости
www.securitylab.ru

Похожие темы