A CLM, distribuidora latino-americano de valor agregado com foco em segurança da informação, proteção de dados, Cloud e infraestrutura para Data Centers, alerta para o malware Geacon, em ataques contra dispositivos rodando o Apple MacOS. Muito utilizado por Red Teams de empresas de segurança e SOCs, o Cobalt, plataforma de simulação de ataques, já vinha sendo usado com frequência por ciberatacantes contra plataformas Windows.
De acordo com Pedro Diógenes, CTO da CLM, nos últimos meses, a SentinelOne, especializada em tecnologias de cibersegurança baseada em IA que abrange desde prevenção, detecção, resposta e caça aos ataques, observou diversos payloads do Geacon no VirusTotal, serviço online gratuito que analisa arquivos e URLs para identificar conteúdo malicioso detectável por antivírus e scanners em sites.
“É provável que algumas dessas investidas sejam operações de Red Teams, mas outras, conforme análise da SentinelOne, têm características de autênticos ataques maliciosos. Ao que tudo indica, os ciberatacantes usam o projeto público e mesmo os private forks do Geacon. Além disso, o aumento de amostras do Geacon nos últimos meses indica que as equipes de segurança devem prestar atenção a essa ferramenta e garantir que suas redes tenham proteção ativa”, adverte Diogenes.
Conheça o Geacon
Geacon é um projeto que apareceu há quatro anos no Github como a implementação Go do Cobalt Strike Beacon. Apesar de ser amplamente difundido, até recentemente, a SentinelOne não tinha observado sua implementação contra alvos Apple rodando o MacOS. Ao analisar os payloads no VirusTotal, parece que o que mudou foi a popularidade dos dois forks do Geacon, criados por um desenvolvedor chinês anônimo que se identifica como “z3ratu1”.
Em uma postagem no blog popping candy, no fim de outubro de 2022, z3ratu1 afirma que “um dia fui fazer compras e vi esse projeto do Geacon, então surgiu esse projeto experimental e seu guia de desenvolvimento”. O primeiro payload do Mach-O Geacon foi submetido ao VirusTotal não muito tempo depois, em 10 de novembro do ano passado.
Em abril deste ano, os projetos públicos geacon_plus e os privados (possivelmente à venda) geacon_pro, desenvolvidos pelo z3ratu1, “ganharam quase 1k de estrelas” e foram incluídos no projeto 404 Starlink, um repositório público de Red Teams de código aberto e de ferramentas de penetração mantidas pelo Laboratório Zhizhi Chuangyu. No mesmo mês, dois payloads Geacon diferentes foram enviados ao VirusTotal que chamaram a atenção da SentinelOne. Um deles em particular tinha marcas de uma campanha genuinamente maliciosa.
Como se proteger
A plataforma SentinelOne identifica os payloads do Geacon como maliciosos e os elimina na gravação (no modo de proteção) ou na execução (no modo de detecção).
O aplicativo foi coprojetado ad hoc e compilado para arquiteturas Apple Silicon e Intel. A análise do script, apenas para execução, mostra que ele contém lógica para determinar a arquitetura atual e baixar um payload do Geacon criado especificamente para o dispositivo de destino
O payload Geacon, não assinado, é baixado de um endereço IP na China. Antes de iniciar sua atividade de sinalização, o usuário é apresentado a um documento “isca” de duas páginas incorporado no binário Geacon. Um PDF é aberto exibindo um currículo de uma pessoa chamada “Xu Yiqing”.
Um segundo payload do Geacon apareceu no VirusTotal em 11 de abril. Nesse caso, o payload, fa9b04bdc97ffe55ae84e5c47e525c295fca1241, está incorporando um trojan disfarçado de SecureLink, aplicativo empresarial para suporte remoto seguro.
Diógenes explica que o trojan ou cavalo de Tróia é um aplicativo simples, não assinado, criado a partir de um fluxo de trabalho do Automator, app desenvolvido pela Apple para o OS X, em vez de um applet do Editor de scripts, e possui o identificador de pacote com.apple.automator.makabaka. Esse código binário visa apenas dispositivos Intel.
Para não correr riscos, o executivo da CLM, esclarece que existem soluções de simulação de violação e ataque (BAS – Breach and Attack Simulation) pioneiras no mundo, que ajudam as empresas a melhorarem sua resiliência cibernética.
“A simulação inverte a dinâmica do zero day a favor da organização, o zero trust, permitindo-as serem proativas na prevenção. O Picus Complete Security Control Validation, por exemplo, mostra como um cibercriminoso poderia roubar dados confidenciais de uma empresa e monitorar, em tempo real e de forma contínua, se os sistemas estão configurados corretamente, o que permite correções e aprimoramentos. Além de analisar a configuração dos dispositivos de segurança e de outros ativos da rede”, conclui.
Serviço
www.clm.tech
Leia nesta edição:
PRÊMIO IC - DESTAQUES DE TIC 2024
Usuários e profissionais do setor de TIC escolhem os produtos e as marcas que melhor os atenderam
TELECOMUNICAÇÕES
5G: a real revolução ainda está para acontecer
ESCPECIAL - ANUÁRIO DE TIC 2024/25
Contatos estratégicos
Esta você só vai ler na versão digital
TENDÊNCIAS
As tecnologias que estão moldando o futuro do e-commerce
Baixe o nosso aplicativo