Últimas

CLM alerta: malware GEACON agora mira os Macs

SentinelOne detecta o uso do malware Geacon para além do Windows.O alvo agora é a implementação Go do sistema operacional da Apple, MacOS.

 

CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, alerta para malware Geacon, em ataques contra dispositivos rodando o Apple MacOS. Muito utilizado por Red Teams de empresas de segurança e SOCs, o Cobalt, plataforma de simulação de ataques, já vinha sendo usado com frequência por ciberatacantes contra plataformas Windows. De acordo com Pedro Diógenes, CTO da CLM, nos últimos meses, a SentinelOne, especializada em tecnologias de cibersegurança baseada em IA que abrange desde prevenção, detecção, resposta e caça aos ataques, observou diversos payloads do Geacon no VirusTotal, serviço online gratuito que analisa arquivos e URLs para identificar conteúdo malicioso detectável por antivírus e scanners em sites. “É provável que algumas dessas investidas sejam operações de Red Teams, mas outras, conforme análise da SentinelOne, têm características de autênticos ataques maliciosos. Ao que tudo indica, os ciberatacantes usam o projeto público e mesmo os private forks do Geacon. Além disso, o aumento de amostras do Geacon nos últimos meses indica que as equipes de segurança devem prestar atenção a essa ferramenta e garantir que suas redes tenham proteção ativa”, adverte Diogenes.

 

O que é o Geacon?

Geacon é um projeto que apareceu há quatro anos no Github como a implementação Go do Cobalt Strike Beacon. Apesar de ser amplamente difundido, até recentemente, a SentinelOne não tinha observado sua implantação contra alvos Apple rodando o MacOS. Ao analisar os payloads no VirusTotal, parece que o que mudou foi a popularidade dos dois forks do Geacon, criados por um desenvolvedor chinês anônimo que se identifica como “z3ratu1”. Em uma postagem no blog popping candy, no fim de outubro de 2022, z3ratu1 afirma que “um dia fui fazer compras e vi esse projeto do geacon, então surgiu esse projeto experimental e seu guia de desenvolvimento”. O primeiro payload do Mach-O Geacon foi submetido ao VirusTotal não muito tempo depois, em 10 de novembro do ano passado. Em abril deste ano, os projetos públicos geacon_plus e os privados (possivelmente à venda) geacon_pro, desenvolvidos pelo z3ratu1, “ganharam quase 1k de estrelas” e foram incluídos no projeto 404 Starlink, um repositório público de Red Teams de código aberto e de ferramentas de penetração mantidas pelo Laboratório Zhizhi Chuangyu. No mesmo mês, dois payloads Geacon diferentes foram enviados ao VirusTotal que chamaram a atenção da SentinelOne. Um deles em particular tinha marcas de uma campanha genuinamente maliciosa.

 Como se proteger dos payloads do Geacon 

A plataforma SentinelOne identifica os payloads do Geacon como maliciosos e os elimina na gravação (no modo de proteção) ou na execução (no modo de detecção).
 
Detalhamento técnico de dois ataques recentes pelo Geacon 

Resume_20230320.app do Xu Yiqing

O Resume_20230320.app do Xu Yiqing foi enviado ao VirusTotal em 5 de abril. Este miniaplicativo usa um AppleScript somente de execução compilado para acionar um servidor C2 remoto e baixar um payload Geacon.
 

O aplicativo foi coprojetado ad hoc e compilado para arquiteturas Apple Silicon e Intel. A análise do script, apenas para execução, mostra que ele contém lógica para determinar a arquitetura atual e baixar um payload do Geacon criado especificamente para o dispositivo de destino. 

Cordas Geacon dropper C2 

O payload Geacon, não assinado, é baixado de um endereço IP na China. Antes de iniciar sua atividade de sinalização, o usuário é apresentado a um documento “isca” de duas páginas incorporado no binário Geacon. Um PDF é aberto exibindo um currículo de uma pessoa chamada “Xu Yiqing”. 

PDF “isca” do Geacon 
Payload em trojan disfarçado de SecureLink 
Um segundo payload do Geacon apareceu no VirusTotal em 11 de abril. Nesse caso, o payload, fa9b04bdc97ffe55ae84e5c47e525c295fca1241, está incorporando um trojan disfarçado de SecureLink, aplicativo empresarial para suporte remoto seguro.
 
Diógenes explica que o trojan ou cavalo de Tróia é um aplicativo simples, não assinado, criado a partir de um fluxo de trabalho do Automator, app desenvolvido pela Apple para o OS X, em vez de um applet do Editor de scripts, e possui o identificador de pacote com.apple.automator.makabaka. Esse código binário visa apenas dispositivos Intel.
É melhor prevenir do que remediar: BAS na cibersegurança 
Para não correr riscos, o executivo da CLM, esclarece que existem soluções de simulação de violação e ataque (BAS - Breach and Attack Simulation) pioneiras no mundo, que ajudam as empresas a melhorarem sua resiliência cibernética.
 
“A simulação inverte a dinâmica do zero day a favor da organização, o zero trust, permitindo-as serem proativas na prevenção. O Picus Complete Security Control Validation, por exemplo, mostra como um cibercriminoso poderia roubar dados confidenciais de uma empresa e monitorar, em tempo real e de forma contínua, se os sistemas estão configurados corretamente, o que permite correções e aprimoramentos. Além de analisar a configuração dos dispositivos de segurança e de outros ativos da rede”, conclui.
 Detalhes técnicos dos payloads no Geacon 

Resume_20230320.app do Xu Yiqing

Abaixo, estão os detalhes do payload x86 Intel, chamado simplesmente amd (bef71ef5a454ce8b4f0cf9edab45293040fc3377). O PDF incorporado é acionado a partir da função main.makewordfile.
 

O código binário Geacon compilado tem uma infinidade de funções para tarefas como comunicações de rede, criptografia, descriptografia, download de outros payloads e exfiltração de dados.

Principais funções de um payload Geacon
 
O servidor C2, no primeiro e no segundo estágio, é um endereço IP chinês 47.92.123.17, que está associado a outras amostras maliciosas direcionadas a máquinas Windows. 
Arquivos se comunicando com IP 47.92.123.17 (fonte: VirusTotal)
 A fonte indica que esta amostra foi compilada a partir do código-fonte gratuito geacon_plus. 
SecureLink.app e SecureLink_Client
Payload, um trojan disfarçado de SecureLink 
O Info.plist revela que o aplicativo foi criado em um dispositivo macOS Ventura 13.1 e tem como alvo as versões macOS do OS X 10.9 Mavericks em diante. Também exige que o usuário conceda acesso à câmera, ao microfone e aos privilégios de administrador do dispositivo, bem como a dados como contatos, fotos e lembretes que, de outra forma, seriam protegidos pelo TCC. 
 
 

O executável principal do aplicativo é um payload Geacon criado a partir do projeto privado geacon_pro.

O path do usuário para a fonte geacon_pro permanece embutido no binário

 
Nesta amostra, o C2 é um endereço IP japonês,13.230.229.15, amplamente reconhecido como um servidor Cobalt Strike no VirusTotal.
 A SentinelOne não conseguiu identificar se esta amostra está operacionalmente conectada ao Xu Yiqing resume.app. Mas esta não é a primeira vez que observa um trojan disfarçado de SecureLink com uma estrutura de ataque de código aberto integrada: um implante Sliver estava sendo distribuído como um falso app SecureLink em setembro de 2022. “Podemos concluir que os Macs corporativos agora estão sendo alvo de uma variedade de agentes de ameaças”, assinala Diogenes. IoCs do Geacon
Para empresas não protegidas pelo SentinelOne ou pela Picus Security, a CLM reproduz, abaixo, a lista dos indicadores de comprometimento (IoCs) do Geacon, feita por especialistas da SentinelOne. “Nosso objetivo é auxiliar na detecção e na busca de ciberameaças”, finaliza Pedro Diogenes.
 Geacon SHA1s6831d9d76ca6d94c6f1d426c1f4de66230f46c4a752ac32f305822b7e8e67b74563b3f3b09936f89bef71ef5a454ce8b4f0cf9edab45293040fc3377c5c1598882b661ab3c2c8dc5d254fa869dadfd2ae7ff9e82e207a95d16916f99902008c7e13c049dfa9b04bdc97ffe55ae84e5c47e525c295fca1241 Geacon em servidores C2s observados47.92.123.1713.230.229.15 Identificadores de pacotecom.apple.ScriptEditor.id.1223com.apple.automator.makabaka Paths de Arquivos Suspeitos~/runoob.log 
Sobre a CLM
CLM é um distribuidor latino-americano, de valor agregado, com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud.
Com sede em São Paulo, a empresa possui coligadas no Chile, EUA, Colômbia e Peru.
A empresa recebeu recentemente diversos prêmios: o de melhor distribuidor da América Latina pela Nutanix, qualidade e agilidade nos serviços prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner pelo crescimento das vendas; o Prêmio Excelência em Distribuição 2022 da Infor Channel pelo compromisso da CLM com a excelência e busca incansável das melhores soluções e serviços aos canais e Destaque no atendimento aos Canais, pelo Anuário de Informática da Revista Informática Hoje. 
Com extensa rede de VARs na América Latina e enorme experiência no mercado, a CLM está constantemente em busca de soluções inovadoras e disruptivas para fornecer cada vez mais valor para seus canais e seus clientes.
www.CLM.tech Sobre a SentinelOne
A SentinelOne é a única solução de segurança cibernética que abrange prevenção, detecção, resposta e caça a ataques com base em IA, em endpoints, contêineres, cargas de trabalho em Nuvem e dispositivos IoT em uma única plataforma XDR autônoma. Com o SentinelOne, as organizações conseguem total transparência em tudo o que está acontecendo na rede, na velocidade da máquina - para derrotar todos os ataques, em todas as fases do ciclo de vida da ameaça. Para saber mais, visite www.sentinelone.com ou siga a empresa em @SentinelOne, no LinkedIn ou Facebook.
 Sobre a Picus Security
Fundada em 2013 por veteranos em segurança cibernética com formação acadêmica e ampla experiência prática, a Picus Security foi pioneira na tecnologia de simulação de violação e ataque (BAS - Breach and Attack Simulation), ajudando as empresas a melhorarem sua resiliência cibernética desde então.
www.PicusSecurity.com

Nenhum comentário