Долгое время никому не нужный инструмент внезапно начал набирать популярность у киберпреступников.
В последнее время среди киберпреступников, нацеленных на macOS, всё больше набирает популярность инструмент Geacon, реализация утилиты Beacon из пакета Cobalt Strike на языке Go.
Специалисты по безопасности из компании SentinelOne отслеживали активность Geacon в сети и обнаружили увеличение количества вредоносных образцов на VirusTotal. Некоторые из них были связаны с легитимными операциями специалистов по Red Teaming, когда как другие — со злонамеренными атаками.
Первая версия Geacon появилась на GitHub как перспективный порт Beacon для Cobalt Strike под macOS, но не сыскала большого интереса у специалистов кибербезопасности. Однако, по данным SentinelOne, ситуация изменилась в апреле этого года, когда анонимные китайские разработчики опубликовали на GitHub две ветви Geacon: Geacon Plus — бесплатную и открытую, и Geacon Pro — приватную и платную.
Недавно ветвь Geacon была добавлена в «404 Starlink project», публичный репозиторий GitHub, посвященный инструментам для тестирования на проникновение, который поддерживается Лабораторией Zhizhi Chuangyu с 2020 года. Это повысило популярность ветви Geacon и, по-видимому, привлекло внимание злоумышленников.
Специалисты SentinelOne обнаружили два случая злонамеренного использования Geacon. Вредоносные образцы были загружены на VirusTotal 5 и 11 апреля.
Первый образец — это файл AppleScript Applet с названием «Xu Yiqing’s Resume_20230320.app», который перед загрузкой неподписанного образазца Geacon Plus с C2-сервера злоумышленника проверяет, что он точно запускается на macOS-системе.
К слову, IP-адрес C2-сервера, как отметили исследователи, был китайским. Специалисты также выяснили, что данный адрес ранее был связан с атаками Cobalt Strike на устройства Windows.
Перед началом «маячковой активности» образец показывает жертве поддельный PDF-файл — резюме человека по имени Xu Yiqing. Образец Geacon поддерживает сетевое общение, шифрование и расшифровку данных, может скачивать дополнительную полезную нагрузку, а также выгружать данные с зараженной системы.
Второй образец — это SecureLink.app и SecureLink_Client, троянизированная версия приложения SecureLink, используемого для безопасной удалённой поддержки, которое содержит уже копию «Geacon Pro».
В этом случае бинарный файл нацелен только на устройства Intel с операционной системой Mac OS X 10.9 (Mavericks) и выше. При запуске приложение запрашивает доступ к камере, микрофону, контактам, фотографиям, напоминаниям и даже административным привилегиям компьютера, которые обычно защищены фреймворком TCC. И хотя это довольно рискованные разрешения, но так как приложение притворяется SecureLink с поддержкой RDP, это может уменьшить подозрения пользователя и заставить его выдать все необходимые разрешения.
У этого образца IP-адрес C2-сервера находится уже в Японии, а VirusTotal также связывает его с прошлыми вредоносными операциями Cobalt Strike.
Хотя SentinelOne соглашается, что некоторая наблюдаемая активность Geacon может быть связана с легитимными операциями Red Teaming специалистов, есть большая вероятность того, что вполне реальные киберпреступники прямо сейчас активно эксплуатируют как публичные, так и приватные ветви Geacon. Увеличение количества получаемых образцов Geacon в VirusTotal за последние несколько месяцев лишь подтверждают это предположение.
Исследователи SentinelOne предоставили список IoC-индикаторов в своём отчёте , чтобы другие специалисты могли использовать их для создания надлежащей защиты от угроз с использованием Geacon.