18.05.2023 | Исследователи фиксируют рост случаев злонамеренного использования Geacon против компьютеров на macOS |
В последнее время среди киберпреступников, нацеленных на macOS, всё больше набирает популярность инструмент Geacon , реализация утилиты Beacon из пакета Cobalt Strike на языке Go . Специалисты по безопасности из компании SentinelOne отслеживали активность Geacon в сети и обнаружили увеличение количества вредоносных образцов на VirusTotal. Некоторые из них были связаны с легитимными операциями специалистов по Red Teaming , когда как другие — со злонамеренными атаками. Первая версия Geacon появилась на GitHub как перспективный порт Beacon для Cobalt Strike под macOS, но не сыскала большого интереса у специалистов кибербезопасности. Однако, по данным SentinelOne, ситуация изменилась в апреле этого года, когда анонимные китайские разработчики опубликовали на GitHub две ветви Geacon: Geacon Plus — бесплатную и открытую, и Geacon Pro — приватную и платную. Недавно ветвь Geacon была добавлена в «404 Starlink project», публичный репозиторий GitHub, посвященный инструментам для тестирования на проникновение, который поддерживается Лабораторией Zhizhi Chuangyu с 2020 года. Это повысило популярность ветви Geacon и, по-видимому, привлекло внимание злоумышленников. Специалисты SentinelOne обнаружили два случая злонамеренного использования Geacon. Вредоносные образцы были загружены на VirusTotal 5 и 11 апреля. Первый образец — это файл AppleScript Applet с названием «Xu Yiqing’s Resume_20230320.app», который перед загрузкой неподписанного образазца Geacon Plus с C2-сервера злоумышленника проверяет, что он точно запускается на macOS-системе. К слову, IP-адрес C2-сервера, как отметили исследователи, был китайским. Специалисты также выяснили, что данный адрес ранее был связан с атаками Cobalt Strike на устройства Windows. Перед началом «маячковой активности» образец показывает жертве поддельный PDF-файл — резюме человека по имени Xu Yiqing. Образец Geacon поддерживает сетевое общение, шифрование и расшифровку данных, может скачивать дополнительную полезную нагрузку, а также выгружать данные с зараженной системы. Второй образец — это SecureLink.app и SecureLink_Client, троянизированная версия приложения SecureLink, используемого для безопасной удалённой поддержки, которое содержит уже копию «Geacon Pro». В этом случае бинарный файл нацелен только на устройства Intel с операционной системой Mac OS X 10.9 (Mavericks) и выше. При запуске приложение запрашивает доступ к камере, микрофону, контактам, фотографиям, напоминаниям и даже административным привилегиям компьютера, которые обычно защищены фреймворком TCC . И хотя это довольно рискованные разрешения, но так как приложение притворяется SecureLink с поддержкой RDP , это может уменьшить подозрения пользователя и заставить его выдать все необходимые разрешения. У этого образца IP-адрес C2-сервера находится уже в Японии, а VirusTotal также связывает его с прошлыми вредоносными операциями Cobalt Strike. Хотя SentinelOne соглашается, что некоторая наблюдаемая активность Geacon может быть связана с легитимными операциями Red Teaming специалистов, есть большая вероятность того, что вполне реальные киберпреступники прямо сейчас активно эксплуатируют как публичные, так и приватные ветви Geacon. Увеличение количества получаемых образцов Geacon в VirusTotal за последние несколько месяцев лишь подтверждают это предположение. Исследователи SentinelOne предоставили список IoC -индикаторов в своём отчёте , чтобы другие специалисты могли использовать их для создания надлежащей защиты от угроз с использованием Geacon. |
Проверить безопасность сайта