Μια εφαρμογή Golang του Cobalt Strike που ονομάζεται Geacon είναι πιθανό να τραβήξει την προσοχή των παραγόντων απειλών που θέλουν να στοχεύσουν συστήματα Apple macOS.
Αυτό προκύπτει από τα ευρήματα της SentinelOne, η οποία παρατήρησε μια αύξηση στον αριθμό των ωφέλιμων φορτίων Geacon που εμφανίζονται στο VirusTotal τους τελευταίους μήνες.
“Ενώ ορισμένες από αυτές είναι πιθανές επιχειρήσεις της κόκκινης ομάδας, άλλες φέρουν τα χαρακτηριστικά γνήσιων κακόβουλων επιθέσεων”, οι ερευνητές ασφαλείας Phil Stokes και Dinesh Devadoss.είπε σε μια αναφορά.
Το Cobalt Strike είναι ένα πολύ γνωστό εργαλείο προσομοίωσης κόκκινης ομαδοποίησης και αντιπάλου που αναπτύχθηκε από την Fortra. Λόγω των μυριάδων δυνατοτήτων του, οι παράνομα σπασμένες εκδόσεις του λογισμικού έχουν γίνει κατάχρηση από τους παράγοντες απειλών όλα αυτά τα χρόνια.
Ενώ η δραστηριότητα μετά την εκμετάλλευση που σχετίζεται με το Cobalt Strike έχει ξεχωρίσει κυρίως τα Windows, τέτοιες επιθέσεις εναντίον macOS είναι κάτι σαν σπάνιο.
Τον Μάιο του 2022, η εταιρεία εφοδιαστικής αλυσίδας λογισμικού Sonatype φανέρωσε λεπτομέρειες ενός αδίστακτου πακέτου Python που ονομάζεται “pymafka” που σχεδιάστηκε για να ρίχνει ένα Cobalt Strike Beacon σε παραβιασμένους κεντρικούς υπολογιστές Windows, macOS και Linux.
Αυτό μπορεί, ωστόσο, να αλλάξει με την εμφάνιση αντικειμένων Geacon στη φύση. Το Geacon είναι μια παραλλαγή Go του Cobalt Strike που υπήρξε διαθέσιμο στο GitHub από τον Φεβρουάριο του 2020.
Περαιτέρω ανάλυση δύο νέων δειγμάτων VirusTotal που μεταφορτώθηκαν τον Απρίλιο του 2023 έχει εντοπίσει την προέλευσή τους σε δύο παραλλαγές Geacon (geacon_plus καιgeacon_pro) που αναπτύχθηκαν στα τέλη Οκτωβρίου από δύο ανώνυμους Κινέζους προγραμματιστές z3ratu1 και H4de5.