黑客使用勒索软件变种攻击macOS系统

一个名为Geacon的Golang Cobalt Strike实施很可能会引起针对Apple macOS系统的威胁参与者的注意。

这是根据SentinelOne的调查结果，它观察到最近几个月出现在ViRustotal上的Geacon有效载荷数量增加。

安全研究人员Phil Stokes和Dinesh Devadoss在一份报告中说：“虽然其中一些可能是红衫军的行动，但其他人则具有真正恶意攻击的特征。”

Cobalt Strike是一款著名的红色组队和敌手模拟工具，由Fortra开发。由于其无数的能力，非法破解版本的软件已被滥用的威胁行动者多年来。

虽然与Cobalt Strike相关的后利用活动主要针对windows，但针对macOS的此类攻击非常罕见。

2022年5月，软件供应链公司Sonatype披露了一个名为“pymafka”的流氓Python/ target=_blank class=infotextkey>Python软件包的细节，该软件包被设计用于在被入侵的Windows、macOS和linux主机上投放Cobalt Strike Beacon。

然而，随着Geacon人工制品在野外的出现，这种情况可能会发生改变。Geacon是Cobalt Strike的Go变体，于2020年2月在Github上发布。

对2023年4月上传的两个新VirusTotal样本的进一步分析发现，它们的起源可追溯到两个Geacon变种（geacon_plus和geacon_pro），这两个变种是由两名匿名的中国开发人员z3ratu1和H4de5在10月底开发的。

Geacon_pro项目在GitHub上不再可访问，但互联网档案馆在2023年3月6日捕获的快照显示，它能够绕过反病毒引擎，如微软Defender、卡巴斯基和奇虎360 360 360酷睿晶。

开发人员H4de5声称，该工具主要用于支持CobaltStrike版本4.1及更高版本，而geaconplus则支持CobaltStrike版本4.0。该软件的当前版本为4.8。

许某某的简历_20230320.app是SentinelOne发现的工件之一，它使用一个仅运行的AppleScript来连接远程服务器并下载一个Gecon有效负载。它与苹果硅和英特尔的架构兼容。

研究人员说：“未签名的”地理信息载体“的有效载荷是从中国的IP地址中检索出来的。”“在开始信标活动之前，用户会收到一份两页长的诱饵文件，嵌入在Gecon二进制文件中。打开一个PDF，显示一个名为”许某某“的人的简历。”

由geacon_plus源代码编译的gecon二进制文件包含多种功能，使其能够下载下一阶段的有效载荷和抽取数据，并方便网络通信。

根据网络安全公司的说法，第二个示例是嵌入在一个伪装成SecureLINK远程支持应用程序(SecureLink.app)并主要针对英特尔设备的特洛伊化应用程序中。

这些基本的、未经签名的应用程序请求用户允许访问联系人、照片、提醒以及设备的照相机和麦克风。它的主要组件是一个由geacon_pro项目构建的、连接到日本已知的命令和控制(C2)服务器的新的Gecon有效载荷。

在这一发展的同时，MacOS生态系统正被包括国家赞助的团体在内的各种潜在威胁行为者瞄准，以部署后门和信息窃取者。

研究人员说：“过去几个月来，Gecon样本的上升表明，安全团队应该关注这一工具，并确保他们的保护措施到位。”