Geacon, une implémentation basée sur Go de la balise de la suite de tests de pénétration largement abusée Cobalt Strike, est de plus en plus utilisée pour cibler les appareils macOS.
Geacon et Cobalt Strike sont tous deux des utilitaires que les organisations légitimes utilisent pour simuler des attaques contre leurs réseaux et améliorer les défenses, mais les acteurs de la menace se sont également appuyés sur eux pour les attaques.
Dans le cas de Cobalt Strike, les acteurs de la menace en abusent pour compromettre les systèmes Windows depuis des années, l’industrie de l’infosec faisant un effort continu pour le combattre.
Les chercheurs en sécurité de SentinelOne surveillant l’activité de Geacon dans la nature ont récemment remarqué une augmentation du nombre de charges utiles sur VirusTotal. Bien que certains d’entre eux aient montré des signes de participation à une opération d’équipe rouge, d’autres présentaient les traits d’attaques malveillantes.
Développement et disponibilité des fourches
Lorsque Geacon est apparu pour la première fois sur GitHub en tant que port prometteur pour Cobalt Strike pouvant fonctionner sur macOS, les pirates semblaient y prêter peu d’attention.
Cependant, SentinelOne rapporte que cela a changé en avril, après que des développeurs chinois anonymes ont publié sur GitHub deux forks Geacon : Geacon Plus – gratuit et accessible au public, et la version privée et payante, Geacon Pro.
Les données historiques de Virus Total indiquent que les charges utiles Mach-O pour la variante gratuite du fork sont en cours de développement depuis novembre 2022.
Aujourd’hui, le fork Geacon a été ajouté au « projet 404 Starlink », un référentiel GitHub public dédié aux outils de test d’intrusion de l’équipe rouge maintenu par le laboratoire Zhizhi Chuangyu depuis 2020.
Cette inclusion a contribué à accroître la popularité du fork Geacon et semble avoir attiré l’attention d’utilisateurs mal intentionnés.
Déploiement dans la nature
SentinelOne a trouvé deux cas de déploiement malveillant de Geacon sur deux soumissions VirusTotal qui se sont produites les 5 et 11 avril.
Le premier est un fichier d’applet AppleScript nommé « Xu Yiqing’s Resume_20230320.app », qui est conçu pour confirmer qu’il s’exécute sur un système macOS avant de récupérer une charge utile « Geacon Plus » non signée à partir d’un serveur de commande et de contrôle (C2) avec un Chinois Adresse IP.
Les chercheurs notent que l’adresse C2 particulière (47.92.123.17) a déjà été associée à des attaques Cobalt Strike sur des machines Windows.
Avant de lancer son « activité de balisage », la charge utile affiche un fichier PDF leurre à la victime – un CV pour un individu nommé Xy Yiqing.
La charge utile Geacon prend en charge les communications réseau, le cryptage et le décryptage des données, elle peut télécharger des charges utiles supplémentaires et exfiltrer les données du système compromis.
La deuxième charge utile est SecureLink.app et SecureLink_Client, une version trojanisée de l’application SecureLink utilisée pour l’assistance à distance sécurisée, qui contient une copie de « Geacon Pro ».
Dans ce cas, le binaire ne cible que les systèmes Mac basés sur Intel, versions OS X 10.9 (Mavericks) et versions ultérieures.
Au lancement, l’application demande l’accès à l’appareil photo, au microphone, aux contacts, aux photos, aux rappels et même aux privilèges d’administrateur de l’ordinateur, qui sont normalement protégés par le cadre de confidentialité Transparence, consentement et contrôle (TCC) d’Apple.
Bien qu’il s’agisse d’autorisations extrêmement risquées, le type d’application masquée est tel que les soupçons de l’utilisateur peuvent être apaisés, les incitant ainsi à accéder à la demande de l’application.
Dans ce cas, l’adresse IP du serveur C2 (13.230.229.15) avec laquelle Geacon communique est basée au Japon et VirusTotal l’a connectée aux opérations passées de Cobalt Strike.
Alors que SentinelOne convient qu’une partie de l’activité Geacon observée est probablement liée aux opérations légitimes de l’équipe rouge, il y a de fortes chances que de vrais adversaires « utilisent le public et peut-être même les fourches privées de Geacon ».
Cette conclusion est étayée par l’augmentation du nombre d’échantillons de Geacon observés au cours des derniers mois, auxquels les équipes de sécurité devraient réagir en mettant en place des défenses adéquates.
SentinelOne a fourni une liste d’indicateurs de compromission (IoC) que les entreprises peuvent utiliser pour créer des protections appropriées contre la menace Geacon.