Uma implementação em Golang do Cobalt Strike chamada Geacon está chamando a atenção de agentes de ameaças que visam sistemas Apple macOS.
As descobertas são da SentinelOne, que observou um aumento no número de payloads Geacon aparecendo no VirusTotal nos últimos meses.
"Embora alguns desses sejam provavelmente operações de equipe vermelha, outros apresentam características de ataques maliciosos genuínos", disseram os pesquisadores de segurança Phil Stokes e Dinesh Devadoss em um relatório.
O Cobalt Strike é uma ferramenta conhecida de simulação de adversário e equipe vermelha desenvolvida pela Fortra.
Devido às suas inúmeras capacidades pós-exploração, versões ilegalmente quebradas do software têm sido abusadas por agentes de ameaça ao longo dos anos.
Embora a atividade pós-exploração associada ao Cobalt Strike tenha se concentrado principalmente no Windows, tais ataques contra o macOS são algo raro.
Em maio de 2022, a empresa de cadeia de suprimentos de software Sonatype divulgou detalhes de um pacote Python malicioso chamado "pymafka" que foi projetado para deixar um Beacon Cobalt Strike em hosts comprometidos do Windows, macOS e Linux.
No entanto, isso pode mudar com o surgimento de artefatos Geacon no mundo selvagem.
Geacon é uma variante Go do Cobalt Strike que está disponível no GitHub desde fevereiro de 2020.
Uma análise mais aprofundada de duas novas amostras do VirusTotal que foram enviadas em abril de 2023 rastreou suas origens em duas variantes do Geacon (geacon_plus e geacon_pro) que foram desenvolvidas no final de outubro por dois desenvolvedores chineses anônimos z3ratu1 e H4de5.
O projeto geacon_pro não está mais acessível no GitHub, mas uma captura de tela do Internet Archive capturada em 6 de março de 2023, revela sua capacidade de contornar mecanismos antivírus como Microsoft Defender, Kaspersky e Qihoo 360 360 Core Crystal.
H4de5, o desenvolvedor por trás do geacon_pro, afirma que a ferramenta é principalmente projetada para suportar as versões 4.1 e posteriores do CobaltStrike, enquanto o geacon_plus suporta a versão 4.0 do CobaltStrike.
A versão atual do software é 4.8.
O aplicativo Xu Yiqing's Resume_20230320.app, um dos artefatos descobertos pela SentinelOne, usa um AppleScript de execução única para se conectar a um servidor remoto e baixar uma payload Geacon.
É compatível com as arquiteturas da Apple Silicon e Intel.
"A payload Geacon não assinada é recuperada de um endereço IP na China", disseram os pesquisadores.
"Antes de começar sua atividade de sinalização, o usuário é apresentado com um documento de fachada de duas páginas incorporado no binário Geacon.
Um PDF é aberto exibindo um currículo para um indivíduo chamado 'Xu Yiqing'".
O binário Geacon, compilado a partir do código-fonte geacon_plus, embala uma infinidade de funções que permitem baixar payloads de próxima etapa e exfiltrar dados e facilitar as comunicações de rede.
A segunda amostra, de acordo com a empresa de cibersegurança, está incorporada em um aplicativo trojanizado que se passa pelo aplicativo de suporte remoto SecureLink (SecureLink.app) e tem como alvo principalmente dispositivos Intel.
O aplicativo, sem recursos extras e não assinado, solicita permissão aos usuários para acessar contatos, fotos, lembretes, bem como a câmera e o microfone do dispositivo.
Seu componente principal é uma payload Geacon construída a partir do projeto geacon_pro que se conecta a um servidor de comando e controle (C2) conhecido no Japão.
O desenvolvimento ocorre enquanto o ecossistema macOS é alvo de uma ampla variedade de agentes de ameaças, incluindo grupos patrocinados por estados, para implantar backdoors e roubar informações.
"O aumento nas amostras do Geacon nos últimos meses sugere que as equipes de segurança devem prestar atenção a essa ferramenta e garantir que tenham proteções em vigor."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...