Es probable que una implementación de Golang de Cobalt Strike llamada Geacon atraiga la atención de los actores de amenazas que buscan apuntar a los sistemas macOS de Apple.
Los hallazgos provienen de SentinelOne, que observó un aumento en la cantidad de cargas útiles de Geacon que aparecen en VirusTotal en los últimos meses.
«Si bien algunas de estas son probablemente operaciones de equipo rojo, otras tienen las características de ataques maliciosos genuinos», dijeron los investigadores de seguridad Phil Stokes y Dinesh Devadoss. dicho en un informe
Cobalt Strike es una conocida herramienta de simulación de equipos rojos y adversarios desarrollada por Fortra. Debido a sus innumerables capacidades posteriores a la explotación, los actores de amenazas han abusado de las versiones pirateadas ilegalmente del software a lo largo de los años.
Si bien la actividad posterior a la explotación asociada con Cobalt Strike se ha centrado principalmente en Windows, tales ataques contra macOS son algo raros.
En mayo de 2022, la empresa de cadena de suministro de software Sonatype revelado detalles de un paquete falso de Python llamado «pymafka» que fue diseñado para lanzar un Cobalt Strike Beacon en hosts Windows, macOS y Linux comprometidos.
Sin embargo, eso puede cambiar con la aparición de artefactos Geacon en la naturaleza. Geacon es una variante Go de Cobalt Strike que ha sido disponible en GitHub desde febrero de 2020.
Un análisis adicional de dos nuevas muestras de VirusTotal que se cargaron en abril de 2023 ha rastreado sus orígenes en dos variantes de Geacon (geacon_plus y geacon_pro) que fueron desarrollados a fines de octubre por dos desarrolladores chinos anónimos z3ratu1 y H4de5.
Ya no se puede acceder al proyecto geacon_pro en GitHub, pero una instantánea de Internet Archive capturada el 6 de marzo de 2023 revela su capacidad para eludir motores antivirus como Microsoft Defender, Kaspersky y Qihoo 360 360 Core Crystal.
H4de5, el desarrollador detrás de geacon_pro, afirma que la herramienta está diseñada principalmente para admitir las versiones 4.1 y posteriores de CobaltStrike, mientras que geacon_plus admite la versión 4.0 de CobaltStrike. El versión actual del software es 4.8.
Resume_20230320.app de Xu Yiqing, uno de los artefactos descubiertos por SentinelOne, emplea un AppleScript de solo ejecución para comunicarse con un servidor remoto y descargar una carga útil de Geacon. Es compatible con las arquitecturas de silicio de Apple e Intel.
«El no firmado Carga útil de Geacon se recupera de una dirección IP en China”, dijeron los investigadores. “Antes de que comience su actividad de señalización, se le presenta al usuario un documento señuelo de dos páginas incrustado en el binario Geacon. Se abre un PDF que muestra el currículum de una persona llamada ‘Xu Yiqing'».
El binario de Geacon, compilado a partir del código fuente de geacon_plus, incluye una multitud de funciones que le permiten descargar cargas útiles de próxima etapa y filtrar datos, y facilitar las comunicaciones de red.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
La segunda muestra, según la empresa de ciberseguridad, está integrada en una aplicación troyana que se hace pasar por la aplicación de soporte remoto SecureLink (SecureLink.app) y se dirige principalmente a dispositivos Intel.
Los barebones, solicitudes de aplicaciones no firmadas para el permiso de los usuarios para acceder a contactos, fotos, recordatorios, así como a la cámara y el micrófono del dispositivo. Su principal componente es un Carga útil de Geacon construido a partir del proyecto geacon_pro que se conecta a un conocido servidor de comando y control (C2) en Japón.
El desarrollo llega cuando el ecosistema macOS está ser apuntados por una amplia variedad de actores de amenazas, incluidos grupos patrocinados por el estado, para desplegar puertas traseras y ladrones de información.
«El aumento en las muestras de Geacon en los últimos meses sugiere que los equipos de seguridad deberían prestar atención a esta herramienta y asegurarse de que cuentan con protecciones».