Geacon, implementasi suar berbasis Go dari suite pengujian penetrasi Cobalt Strike yang disalahgunakan secara luas, semakin banyak digunakan untuk menargetkan perangkat macOS.
Baik Geacon dan Cobalt Strike adalah utilitas yang digunakan organisasi resmi untuk mensimulasikan serangan terhadap jaringan mereka dan meningkatkan pertahanan, tetapi pelaku ancaman juga mengandalkan mereka untuk menyerang.
Dalam kasus Cobalt Strike, pelaku ancaman telah menyalahgunakannya untuk mengkompromikan sistem Windows selama bertahun-tahun, dengan industri infosec membuat upaya terus menerus ke melawannya.
Peneliti keamanan di SentinelOne memantau aktivitas Geacon di alam liar telah memperhatikan peningkatan jumlah muatan di VirusTotal belakangan ini. Meskipun beberapa dari mereka menunjukkan tanda-tanda menjadi bagian dari operasi tim merah, yang lain memiliki ciri-ciri serangan jahat.
Pengembangan dan ketersediaan garpu
Ketika Geacon pertama kali muncul di GitHub sebagai port yang menjanjikan untuk Cobalt Strike yang dapat bekerja di macOS, para peretas tampaknya kurang memperhatikannya.
Namun, SentinelOne melaporkan bahwa ini berubah pada bulan April, setelah pengembang Cina anonim menerbitkan dua garpu Geacon di GitHub: Geacon Plus – gratis dan tersedia untuk umum, dan pribadi, versi berbayar, Geacon Pro.
Data historis dari Virus Total menunjukkan bahwa muatan Mach-O untuk varian gratis fork telah dikembangkan sejak November 2022.
Hari ini, garpu Geacon telah ditambahkan ke ‘404 proyek Starlink,’ repositori GitHub publik yang didedikasikan untuk alat pengujian pena tim merah yang dikelola oleh Zhizhi Chuangyu Laboratory sejak 2020.
Inklusi ini membantu meningkatkan popularitas garpu Geacon dan tampaknya telah menarik perhatian pengguna yang berniat buruk.
Penerapan di alam liar
SentinelOne menemukan dua kasus penyebaran Geacon berbahaya pada dua kiriman VirusTotal yang terjadi pada 5 April dan 11 April.
Yang pertama adalah file applet AppleScript bernama “Xu Yiqing’s Resume_20230320.app,” yang dirancang untuk mengonfirmasi bahwa file tersebut berjalan pada sistem macOS sebelum mengambil satu payload ‘Geacon Plus’ yang tidak ditandatangani dari server perintah dan kontrol (C2) dengan bahasa Mandarin Alamat IP.
Para peneliti mencatat bahwa alamat C2 tertentu (47.92.123.17) sebelumnya telah dikaitkan dengan serangan Cobalt Strike pada mesin Windows.
Sebelum memulai “aktivitas beaconing”, payload menampilkan file PDF umpan kepada korban – resume untuk seseorang bernama Xy Yiqing.
Muatan Geacon mendukung komunikasi jaringan, enkripsi dan dekripsi data, ia dapat mengunduh muatan tambahan, dan mengekstraksi data dari sistem yang disusupi.
Muatan kedua adalah SecureLink.app dan SecureLink_Client, versi trojan dari aplikasi SecureLink yang digunakan untuk dukungan jarak jauh yang aman, yang membawa salinan ‘Geacon Pro.’
Dalam hal ini, biner hanya menargetkan sistem Mac berbasis Intel, versi OS X 10.9 (Mavericks) dan yang lebih baru.
Saat diluncurkan, aplikasi meminta akses ke kamera komputer, mikrofon, kontak, foto, pengingat, dan bahkan hak istimewa administrator, yang biasanya dilindungi oleh kerangka privasi Transparansi, Persetujuan, dan Kontrol (TCC) Apple.
Meskipun ini adalah izin yang sangat berisiko, jenis aplikasi yang disamarkan sedemikian rupa sehingga kecurigaan pengguna dapat diredakan, sehingga menipu mereka untuk mengabulkan permintaan aplikasi tersebut.
Dalam hal ini, alamat IP server C2 (13.230.229.15) yang berkomunikasi dengan Geacon berbasis di Jepang dan VirusTotal telah menghubungkannya dengan operasi Cobalt Strike sebelumnya.
Sementara SentinelOne setuju bahwa beberapa aktivitas Geacon yang diamati kemungkinan besar terkait dengan operasi tim merah yang sah, ada peluang bagus bahwa musuh yang sebenarnya “akan memanfaatkan publik dan bahkan mungkin garpu pribadi Geacon.”
Mendukung kesimpulan ini adalah peningkatan jumlah sampel Geacon yang terlihat selama beberapa bulan terakhir, yang harus ditanggapi oleh tim keamanan dengan menerapkan pertahanan yang memadai.
SentinelOne telah menyediakan daftar indikator kompromi (IoC) yang dapat digunakan perusahaan untuk membuat perlindungan yang tepat terhadap ancaman Geacon.
