Site icon Kiber.ba

Hakeri ciljaju Apple macOS: Koriste Golang varijantu Cobalt Strike-a

Golang implementacija Cobalt Strike-a pod nazivom Geacon vjerovatno će privući pažnju hakera koji žele ciljati Apple macOS sisteme.

Nalazi dolaze od SentinelOne-a, koji je primijetio porast broja Geacon payload-ova koji se pojavljuju na VirusTotal-u u posljednjih nekoliko mjeseci.

“Dok su neke od njih vjerovatno operacije crvenog tima, druge imaju karakteristike pravih malicioznih napada” rekli su istraživači sigurnosti Phil Stokes i Dinesh Devadoss u izvještaju.

Cobalt Strike je dobro poznati alat za simulaciju crvenog tima i protivnika koji je razvio Fortra. Zbog bezbrojnih mogućnosti post eksploatacije, ilegalno krekovane verzije softvera su tokom godina zloupotrebljavani od strane hakera.

Dok su aktivnosti nakon eksploatacije povezane s Cobalt Strike-om prvenstveno izdvojile Windows, takvi napadi na macOS su rijetkost.

U maju 2022, firma za lanac nabave softvera Sonatype otkrila je detalje lažnog Python paketa nazvanog “pymafka” koji je dizajniran da ispusti Cobalt Strike Beacon na kompromitovane Windows, macOS i Linux hostove.

To se, međutim, može promijeniti s pojavom Geacon artefakata u divljini. Geacon je Go varijanta Cobalt Strike-a koja je dostupna na GitHub-u od februara 2020. godine.

Daljnjom analizom dva nova uzorka VirusTotal koji su postavljeni u aprilu 2023. godine, njihovog porijekla rezultat su dvije Geacon varijante (geacon_plus i geacon_pro) koje su krajem oktobra razvila dva anonimna kineska programera z3ratu1 i H4de5.

Projekat geacon_pro više nije dostupan na GitHub-u, ali snimak Internet arhive snimljen 6. marta 2023. godine otkriva njegovu sposobnost da zaobiđe antivirusne mehanizme kao što su Microsoft Defender, Kaspersky i Qihoo 360 360 Core Crystal.

H4de5, programer iza geacon_pro, tvrdi da je alat uglavnom dizajniran da podržava CobaltStrike verzije 4.1 i novije, dok geacon_plus podržava CobaltStrike verziju 4.0. Trenutna verzija softvera je 4.8.

Xu Yiqing-ova Resume_20230320.app, jedan od artefakata koje je otkrio SentinelOne, koristi AppleScript samo za pokretanje da dopre do udaljenog servera i preuzme Geacon payload. Kompatibilan je i sa Apple silikonskom i sa Intel arhitekturom.

“Nepotpisani Geacon payload se preuzima sa IP adrese u Kini” rekli su istraživači. “Prije nego što započne svoju aktivnost beaconing-a, korisniku se prikazuje varalica od dvije stranice koja je ugrađena u Geacon binarnu datoteku. Otvara se PDF koji prikazuje životopis pojedinca po imenu ‘Xu Yiqing’.”

Geacon binarni program, kompajliran iz izvornog koda geacon_plus, sadrži mnoštvo funkcija koje mu omogućavaju preuzimanje payload-a sljedeće faze i eksfiltrovanje podataka, te olakšava mrežnu komunikaciju.

Drugi uzorak, prema kompaniji za kibernetičku bezbjednost, ugrađen je u trojanizovanu aplikaciju koja se maskira kao aplikacija za udaljenu podršku SecureLink, SecureLink.app, i uglavnom cilja na Intel uređaje.

Nepotpisana aplikacija traži od korisnika dozvolu za pristup kontaktima, fotografijama, podsjetnicima, kao i kameri i mikrofonu uređaja. Njegova glavna komponenta je Geacon payload izgrađen od geacon_pro projekta koji se povezuje na poznati komandno-kontrolni (C2) server u Japanu.

Razvoj dolazi jer je macOS ekosistem na meti širokog spektra hakera, uključujući grupe koje sponzoriše država, kako bi razmjestili backdoor i kradljivce informacija.

“Porast Geacon uzoraka u posljednjih nekoliko mjeseci sugeriše da bi sigurnosni timovi trebali obratiti pažnju na ovaj alat i osigurati adekvatnu zaštitu.”

Izvor: The Hacker News

Exit mobile version