攻击者使用“Geacon”Cobalt Strike工具瞄准macOS

news2024/11/24 1:33:08

威胁行为者现在正在部署一种名为 Geacon 的 Cobalt Strike 的 Go 语言实现,它于四年前首次出现在 GitHub 上。

他们正在使用红队和攻击模拟工具来针对 macOS 系统,其方式与过去几年在 Windows 平台上使用 Cobalt Strike 进行后开发活动的方式大致相同。

SentinelOne 的安全研究人员在发现最近几个月出现在 VirusTotal 上的几个 Geacon 有效载荷后,于本周报告了这一活动。

SentinelOne 对样本的分析表明,有些可能与合法的企业红队演习有关,而另一些则似乎是恶意活动的产物。

4 月 5 日提交给 VirusTotal 的一个恶意样本是一个名为“Xu Yiqing's Resume_20230320.app”的 AppleScript 小程序,它从具有 IP 地址的恶意服务器下载未签名的 Geacon 负载。

SentinelOne 发现该应用程序是为运行在 Apple 或 Intel 芯片上的 macOS 系统编译的。

该小程序包含帮助它确定特定 macOS 系统架构的逻辑,因此它可以为该设备下载特定的 Geacon 有效负载。

编译后的 Geacon 二进制文件本身包含一个嵌入式 PDF,在向其命令和控制 (C2) 服务器发送信标之前,它首先显示名为 Xu Yiqing 的个人的简历。

编译后的 Geacon 二进制文件具有多种功能,可用于网络通信、加密、解密、下载更多有效载荷和泄露数据等任务。

在另一个实例中,SentinelOne 发现了嵌入在 SecureLink 企业远程支持应用程序的伪造版本中的 Geacon 有效负载。

该有效载荷于 4 月 11 日出现在 VirusTotal 中,并且仅针对基于 Intel 的 macOS 系统。

与之前的 Geacon 样本不同,SentinelOne 发现第二个样本是一个基本的、未签名的应用程序,很可能是使用自动化工具构建的。

该应用程序要求用户授予对设备摄像头、麦克风、管理员权限和其他通常受 macOS 的透明度、同意和控制框架保护的设置的访问权限。

在这种情况下,Geacon 有效载荷与已知的 Cobalt Strike C2 服务器通信,IP 地址位于日本。

这不是我们第一次看到木马伪装成带有嵌入式开源攻击框架的 SecureLink。

这家安全供应商以去年 9 月发现的名为 Sliver 的 macOS 开源攻击框架为例,该框架嵌入了伪造的 SecureLink。

它提醒所有人,企业 Mac 现在正成为各种威胁行为者的广泛目标。

攻击者长期以来一直使用 Cobalt Strike 在 Windows 系统上进行各种恶意的后利用活动,包括建立命令和控制、横向移动、有效负载生成和利用传递。

在某些情况下,攻击者偶尔也会使用 Cobalt Strike 来攻击 macOS。

一个例子是去年的域名仿冒攻击,其中威胁行为者试图通过将名为“pymafka”的恶意包上传到 PyPI 寄存器来在 Windows、Linux 和 macOS 系统上部署 Cobalt Strike 。

在其他情况下,攻击者还使用名为 Mythic 的以 macOS 为中心的红队工具作为其攻击链的一部分。

去年 10 月,一位匿名的研究人员使用“z3ratu1”的名称发布了两个 Geacon 分支后不久,涉及 Geacon 本身的活动就开始了,一个是私有的,可能会出售,名为“geacon_pro”,另一个是公开的,称为 geacon-plus。

专业版包括一些附加功能,例如防病毒绕过和反杀功能。

他将攻击者对 Geacon 的突然兴趣归因于 z3ratu1 发布的一篇博客,该博客描述了这两个分叉以及他试图推销他的作品。

最初的 Geacon 项目本身主要用于协议分析和逆向工程目的。

Geacon 的恶意使用越来越多,这与攻击者对 macOS 系统越来越感兴趣的更广泛模式相吻合。

今年早些时候,Uptycs 的研究人员报告了一种名为“MacStealer”的新型 Mac 恶意软件样本,根据其名称,该样本窃取了 Apple 用户的文档、iCloud 钥匙串数据、浏览器 cookie 和其他数据。

4 月,“Lockbit”的运营商成为第一个开发 Mac 版恶意软件的主要勒索软件参与者,为其他人效仿奠定了基础。

去年,朝鲜臭名昭著的 Lazarus Group 成为首批开始瞄准 Apple Mac 的已知国家支持组织之一。

SentinelOne 发布了一组指标来帮助组织识别恶意 Geacon 负载。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/553128.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Rust每日一练(Leetday0007) 删除结点、有效括号、合并链表

目录 19. 删除链表的倒数第 N 个结点 Remove-nth-node-from-end-of-list 🌟🌟 20. 有效的括号 Valid Parentheses 🌟 21. 合并两个有序链表 Mmerge-two-sorted-lists 🌟 🌟 每日一练刷题专栏 🌟 Ru…

web搭建服务器端+创建web后端项目详细步骤

一、搭建服务器端 Web服务器:用于响应来自Web客户端(如浏览器、移动应用程序等)的请求并提供Web页面和其他Web资源的软件程序或计算机系统。它允许用户在Web浏览器中输入网址,通过HTTP协议向服务器发送请求,并收到Web页…

用原生JS实现虚拟列表(IT枫斗者)

用原生JS实现虚拟列表 介绍 最近在开发需求的时候,有用到 Antd 的虚拟列表组件 rc-virtual-list ,粗略地看了一下源码,于是萌生了自己写一个虚拟列表的想法。当一个列表需要渲染大量数据的时候是非常耗时的,而且在列表滚动的过程…

Golang每日一练(leetDay0073) 实现前缀树、最短子数组

目录 208. 实现 Trie (前缀树) Implement-trie-prefix-tree 🌟🌟 209. 长度最小的子数组 Minimum-size-subarray-sum 🌟🌟 🌟 每日一练刷题专栏 🌟 Rust每日一练 专栏 Golang每日一练 专栏 Python每…

多线程的三种创建方式及各自的优缺点分析

第一种方式:继承Thread类,覆写run()方法 1、创建一个MyThread类,继承Thread类; 2、覆写run()方法,在run()方法内编写任务代码; 3、创建MyThread类,需要注意的是,如果想要给线程命名…

传染病学模型 | Matlab实现SI传染病学模型 (SI Epidemic Model)

文章目录 效果一览基本描述模型介绍程序设计参考资料效果一览 基本描述 传染病学模型 | Matlab实现SI传染病学模型 (SI Epidemic Model) 模型介绍 SI传染病模型是一种基于微分方程的流行病学模型,用于模拟传染病在人群中的传播过程。SI模型中,人群被划分为易感者(S)和感染者…

来 Azure 学习 OpenAI 四 - 用 Embedding 赋能 GPT

大家好,我是学生大使 Jambo。在我们前一篇文章中,我们介绍了 OpenAI 模型的调用。今天,我将为大家介绍 Embedding 的使用。 嵌入是什么 嵌入(Embedding )是一种将高维数据映射到低维空间的方法。嵌入可以将高维数据可…

第一章 初识Python

1.1 课前必读 课程大纲 1.2 Python介绍 Python特点: 主流语言;用途广泛,号称万能语言;上手简单; Python用途: 数据挖掘(爬虫)和数据分析自动化脚本编写(软件测试人员使用…

尚硅谷周阳老师 SpringCloud第二季学习笔记

前言:首先感谢尚硅谷周阳老师的讲解,让我对springcloud有了很好的理解,周阳老师的讲课风格真的很喜欢,内容充实也很幽默,随口一说就是一个段子,我也算是周阳老师的忠实粉丝啦。 先说说课程总体内容 以下是…

[学习笔记] [机器学习] 6. [上]决策树算法(熵Entropy、信息增益(率)、基尼值(指数)、CART剪枝、特征工程特征提取、回归决策树)

视频链接数据集下载地址:无需下载 学习目标: 掌握决策树实现过程知道信息熵的公式以及作用知道信息增益、信息增益率和基尼指数的作用知道id3、c4.5、cart算法的区别了解cart剪枝的作用知道特征提取的作用应用DecisionTreeClassifier实现决策树分类 1…

开放原子训练营(第三季)inBuilder低代码开发实验室,低代码到底该长什么样

目录 前言: 一、什么是inBuilder低代码开发实验室 二、技术特征 2.1开放性 2.2开发语言无关性 2.3云原生 2.4模型工程化 2.5全栈模型刻画 2.6运行态定制 2.7仓库介绍 三、快速入门 四、实操案例 4.1定义数据源 4.2 设计页面 4.3发布调试 五、总结 前言&#xf…

Activiti实战——Springboot整合Activiti

目录 一、Activiti数据库表名说明 二、Spring boot整合activiti 1. 创建springboot项目 2. 引入activiti依赖及项目依赖 3. 配置数据源 (1)创建数据源配置文件 (2)配置文件 4. 配置Acitviti引擎 5. 启动项目 三、Activiti…

【MySQL 数据库】1、MySQL 的 DDL、DML、DQL 语句

目录 一、MySQL 应该掌握哪些知识点 ?二、数据库相关概念三、主流关系型数据库管理系统四、关系型数据库五、SQL 语句的分类六、DDL(1) 数据库操作(2) 表操作(3) 字段的数据类型(4) 创建员工表(5) 修改表结构(6) 删除某一张表 七、DML八、DQL(1) 员工表(2) distinct…

经典神经网络(4)Nin-Net及其在Fashion-MNIST数据集上的应用

经典神经网络(4)Nin-Net及其在Fashion-MNIST数据集上的应用 1 Nin-Net的简述 1.1 Nin-Net的概述 LeNet、AlexNet和VGG都有⼀个共同的设计模式:通过⼀系列的卷积层与汇聚层来提取空间结构特征;然后通过全连接层对特征的表征进⾏处理。AlexNet和VGG对Le…

线程池的创建与使用

void execute(Runnable run)方法处理Runnbale任务 Future<> submit(Callable<> task)方法处理Callable任务 void shutdown()结束线程池 List<\Runnable> shutdownNow()立即结束线程池&#xff0c;不管任务是否执行完毕 //创建线程池的一种方式 ExecutorServi…

基于WebApi实现ModbusTCP数据服务

在上位机开发过程中&#xff0c;有时候会遇到需要提供数据接口给MES或者其他系统&#xff0c;今天跟大家分享一下&#xff0c;如何在Winform等桌面应用程序中&#xff0c;开发WebApi接口&#xff0c;提供对外数据服务。 为了更好地演示应用场景&#xff0c;本案例以读取Modbus…

Leetcode 209. 长度最小的子数组——go语言实现

文章目录 一、题目描述二、代码实现方法一&#xff1a;暴力法解题思路代码实现复杂度分析 方法二&#xff1a;滑动窗口 双指针解题思路代码实现复杂度分析 方法三&#xff1a;前缀和 二分查找解题思路代码实现复杂度分析 一、题目描述 给定一个含有 n 个正整数的数组和一个正…

STM32 10个工程篇:1.IAP远程升级(四)

在前三篇博客中主要介绍了IAP远程升级的应用背景、下位机的实现原理、以及基于STM32CubeMX对STM32F103串口DMA的基本配置&#xff0c;第四篇博客主要想介绍Labview端上位机和下位机端的报文定义和通信等。 当笔者工作上刚接触到STM32 IAP升级的时候&#xff0c;实事求是地说存在…

【科普】电压和接地真的存在吗?如何测试?

经常在实验室干活的&#xff0c;难免不被电击过&#xff0c;尤其是在干燥的北方&#xff0c;“被电”是常有的事情&#xff0c;我记得有一次拿着射频线往仪表上拧的时候&#xff0c;遇到过一次严重的电火花&#xff0c;瞬间将仪表的射频口边缘烧出了一个疤&#xff0c;实验室遭…

LeetCode83. 删除排序链表中的重复元素

写在前面&#xff1a; 题目链接&#xff1a;LeetCode83. 删除排序链表中的重复元素 编程语言&#xff1a;C 题目难度&#xff1a;简单 一、题目描述 给定一个已排序的链表的头 head &#xff0c; 删除所有重复的元素&#xff0c;使每个元素只出现一次 。返回 已排序的链表 。 …