Beacon'un yaygın olarak istismar edilen penetrasyon testi paketi kobalt grevinden GO tabanlı bir uygulaması olan Geacon, MacOS cihazlarını hedeflemek için daha fazla kullanılmaktadır.
Hem Geacon hem de Cobalt Strike, meşru kuruluşların ağlarına yönelik saldırıları simüle etmek ve savunmaları iyileştirmek için kullandıkları kamu hizmetleridir, ancak tehdit aktörleri de saldırılar için onlara güvenmiştir.
Kobalt grevi durumunda, tehdit aktörleri Windows sistemlerini yıllarca tehlikeye atmayı kötüye kullanıyor ve Infosec endüstrisi onunla savaşmak için sürekli bir çaba gösteriyor.
Sentinelone izleme Geacon etkinliğindeki güvenlik araştırmacıları, son zamanlarda Virustotal'da artan sayıda yük fark ettiler. Bazıları kırmızı takım operasyonunun parçası olma belirtileri göstermesine rağmen, diğerleri kötü niyetli saldırılar özellikleri vardı.
Geacon ilk kez MacOS üzerinde çalışabilecek kobalt grev için umut verici bir liman olarak göründüğünde, bilgisayar korsanları buna çok az dikkat ediyor gibi görünüyordu.
Bununla birlikte, Sentinelone, GitHub Two Geacon Forks: Geacon Plus- ücretsiz ve halka açık olan ve özel, ücretli sürüm Geacon Pro'da yayınlanan anonim Çinli geliştiricilerin Nisan ayında değiştiğini bildirdi.
Virüs toplamından elde edilen tarihsel veriler, çatalın serbest varyantı için Mach-O yüklerinin Kasım 2022'den bu yana geliştirildiğini göstermektedir.
Bugün, Geacon Fork, 2020'den beri Zhizhi Chuangyu Laboratuvarı tarafından korunan kırmızı takım kalem test araçlarına adanmış bir kamu Github deposu olan '404 Starlink Projesi'ne eklendi.
Bu dahil etme, Geacon çatalının popülaritesini artırmaya yardımcı oldu ve kötü niyetli kullanıcıların dikkatini çekmiş gibi görünüyor.
Sentinelone, 5 Nisan ve 11 Nisan'da gerçekleşen iki Virustotal gönderim için iki kötü amaçlı Geacon dağıtım vakası buldu.
Birincisi, bir Çince ile imzasız bir 'Geacon Plus' yükü getirmeden önce bir macOS sisteminde çalıştığını doğrulamak için tasarlanmış bir Applescript Applet dosyasıdır. IP adresi.
Araştırmacılar, belirli C2 adresinin (47.92.123.17) daha önce Windows makinelerinde kobalt grev saldırıları ile ilişkili olduğunu belirtmişlerdir.
"Dinleme etkinliğini" başlatmadan önce, yük kurbana bir tuzak PDF dosyası görüntüler -XY YiQing adında bir birey için bir özgeçmiş.
Geacon yükü, ağ iletişimlerini, veri şifrelemesini ve şifre çözme işlemini destekler, ek yükler indirebilir ve verileri tehlikeye atabilir sistemden söndürebilir.
İkinci yük, güvenli uzaktan destek için kullanılan, 'Geacon Pro' bir kopyasını taşıyan SecureliLink uygulamasının truva atlı bir sürümü olan Securelink.App ve Securelink_Client'dir.
Bu durumda, ikili yalnızca Intel tabanlı MAC sistemlerini, OS X 10.9 (Mavericks) ve daha sonra versiyonları hedefler.
Başlatıldıktan sonra uygulama, normalde Apple’ın şeffaflığı, rızası ve kontrol (TCC) gizlilik çerçevesi ile korunan bilgisayar kamerasının, mikrofonunun, kişilere, fotoğraflara, hatırlatıcılara ve hatta yönetici ayrıcalıklarına erişim talep eder.
Bunlar son derece riskli izinler olmasına rağmen, maskelenmiş uygulamanın türü, kullanıcının şüphesinin üstlenilebileceği ve böylece uygulamanın isteğini yerine getirebileceği şekildedir.
Bu durumda, Geacon'un iletişim kurduğu C2 Server IP adresi (13.230.229.15) Japonya'da bulunur ve Virustotal bunu geçmiş Kobalt grev operasyonlarına bağlamıştır.
Sentinelone, gözlemlenen Geacon etkinliğinin bir kısmının muhtemelen meşru kırmızı ekip operasyonlarıyla bağlantılı olduğunu kabul etse de, gerçek rakiplerin "halka ve hatta Geacon'un özel çatallarından bile yararlanma şansı var."
Bu sonucu desteklemek, güvenlik ekiplerinin yeterli savunmaların uygulanmasına tepki vermesi gereken son birkaç ay içinde görülen Geacon örneği sayısının artmasıdır.
Sentinelone, şirketlerin Geacon tehdidine karşı uygun korumalar oluşturmak için kullanabileceği uzlaşma göstergelerinin (IOCS) bir listesini sağlamıştır.
Github, geçen haftanın kesintilerinin arkasındaki nedenleri ortaya koyuyor
Github şimdi tüm depolar için jeton ve API anahtar sızıntıları otomatik bloke
Araştırmacı, bir iş bulmak için popüler paketçi php paketlerini kaçırır
AI destekli siber saldırılara karşı web uygulamaları nasıl güvence altına alınır
Apple’ın ilk hızlı güvenlik yanıtı yaması iPhone'lara yüklenemiyor
Kaynak: Bleeping Computer