Nowy wariant Cobalt Strike i ataki na macOS
Sprawdź darmową edukację z cyberbezpieczeństwa ↓
Tagi:  windowsmicrosoft

Nowy wariant Cobalt Strike i ataki na macOS

Przez lata działania poeksploatacyjne związane z Cobalt Strike koncentrowały się głównie na systemie Windows, więc ataki na macOS należały do rzadkości.

Narzędzie Cobalt Strike powstało jako komercyjne narzędzie służące do przeprowadzania symulacji zaawansowanych ataków podczas testów red teamingowych. Jednakże, w roku 2020 narzędzie zostało scrackowane, a obecnie jego kopie można łatwo znaleźć na forach, które gromadzą entuzjastów cyberprzestępczości. 

W wielkim skrócie platforma umożliwia atakującemu wdrożenie na zaatakowanej maszynie agenta o nazwie "beacon", co zapewnia operatorowi zdalny dostęp do systemu. Teraz badacze z SentinelOne zauważyli, że Geacon, złośliwa implementacja beacona oparta na Go, coraz częściej służy do atakowania urządzeń z systemem macOS.

Co to jest Geacon?

Kiedy Geacon po raz pierwszy pojawił się na platformie GitHub hakerzy wydawali się nie zwracać na niego zbyt dużo uwagi. Jednakże SentinelOne raportuje, że sytuacja ta zmieniła się w kwietniu, kiedy anonimowi chińscy programiści opublikowali na GitHubie dwa forki Geacona. Mowa o Geacon Plus — darmowej i publicznie dostępnej wersji, oraz prywatnej, płatnej wersji — Geacon Pro. Historyczne dane z Virus Total wskazują, że payloady Mach-O dla darmowej wersji forka były rozwijane od listopada 2022 roku. 

Obecnie, fork Geacon został dodany do projektu '404 Starlink', publicznego repozytorium GitHub poświęconego narzędziom redteamowym, utrzymywanego przez Zhizhi Chuangyu Laboratory. To pomogło zwiększyć popularność forka i najpewniej przyciągnęło uwagę cyberprzestępców.

Ataki na macOS

SentinelOne odkrył dwa przypadki złośliwej implementacji Geacon w dwóch zgłoszeniach na VirusTotal, które miały miejsce 5 kwietnia i 11 kwietnia. 

Pierwszy z nich to plik AppleScript o nazwie "Xu Yiqing’s Resume_20230320.app", który ma na celu potwierdzenie, że działa w systemie macOS. Po uzyskaniu potwierdzenia pobiera on niepodpisany ładunek "Geacon Plus" z serwera dowodzenia i kontroli (C2) o chińskim adresie IP. Badacze zauważają, że konkretny adres C2 (47.92.123.17) wiązano wcześniej z atakami Cobalt Strike na maszyny z systemem Windows. 

Przed rozpoczęciem aktywności, payload wyświetla ofierze wabik w postaci dokumentu osadzonego w pliku binarnym Beacon. Otwierany PDF zawiera CV osoby o imieniu Xy Yiqing widoczny poniżej.

Źródło: SentinelOne 

Ładunek Geacon obsługuje komunikację sieciową, szyfrowanie i deszyfrowanie danych. Ponadto może także pobierać dodatkowe ładunki oraz eksfiltrować dane z zaatakowanego systemu.

Główne funkcje ładunku Geacon (SentinelOne) 

Drugim ładunkiem jest aplikacja SecureLink.app oraz SecureLink_Client. Jest to zainfekowana wersja aplikacji zdalnego wsparcia SecureLink, która zawiera kopię Geacon Pro. 

W tym przypadku plik binarny atakuje tylko systemy Mac oparte na procesorach Intel, wersje OS X 10.9 (Mavericks) i nowsze.

Po uruchomieniu aplikacja prosi o dostęp do kamery, mikrofonu, kontaktów, zdjęć, przypomnień, a nawet o uprawnienia administratora. Główny komponent aplikacji to ładunek Geacon oparty na projekcie geacon_pro, który nawiązuje połączenie ze znanym serwerem C2 w Japonii. 

Specjaliści z SentinelOne zgadzają się, że część zaobserwowanej aktywności Geacon jest prawdopodobnie związana z legalnymi operacjami Red Teamów. Niemniej jednak istnieje duża szansa, że forki Geacon staną się szeroko wykorzystywane w cyberprzestępczym półświatku. Na poparcie tej konkluzji badacze przywołują zwiększoną liczbę próbek Geacon obserwowanych w ciągu ostatnich miesięcy. 

Zwiększona liczba próbek Geacon obserwowanych w ciągu ostatnich miesięcy podkreśla potrzebę zwrócenia uwagi przez zespoły bezpieczeństwa na to narzędzie. Ponadto ważne jest, by upewnić się, że mają odpowiednie zabezpieczenia. 

Warto również nadmienić, że rozwój ten ma miejsce w momencie, gdy ataki na macOS stają coraz częstsze, również za sprawą grup cyberprzestępczych sponsorowanych przez państwa. Wszystko to ma na celu wdrażanie backdoorów i narzędzi służących do kradzieży informacji.


Grafika: freepik
Oceń blog:
Czas czytania: 5 min
Data: 23.05.2023

Terminarz

prev

next

Lista najbliższych webinariów

25.06.2026
10:00 [ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
29.06.2026
10:00 PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel Endpoint Detection and Response (EDR)

case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel

Czytaj więcej
case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline Next Generation Firewall (NGFW)

case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline

Czytaj więcej
WatchGuard MDR - co to jest i który wariant wybrać? Managed Detection and Response (MDR)

WatchGuard MDR - co to jest i który wariant wybrać?

Czytaj więcej
WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026 Endpoint Detection and Response (EDR)

WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026

Czytaj więcej
Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności Usługi i szkolenia

Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności

Czytaj więcej
1Security: Widoczność i kontrola Microsoft365

Microsoft 365 rozwija się każdego dnia - nowe zespoły, goście i udostępnienia pojawiają się szybciej, niż da się je kontrolować. Każdy z nich to potencjalne wejście dla nieautoryzowanego dostępu. Wrażliwe dane krążą po środowisku bez nadzoru, a Copilot może zobaczyć więcej, niż powinien. Brak pełnej widoczności to dziś nie tylko ryzyko, to prowokowanie incydentu.

141.14 PLN
Zobacz więcej
Trend Micro Cloud App Security

Trend Micro Cloud App Security

Trend Micro Cloud App Security to zaawansowana ochrona aplikacji chmurowych, takich jak Microsoft 365 i Google Workspace, zapewniająca skuteczną obronę przed phishingiem, ransomware i atakami BEC. Dzięki integracji z XDR oraz analizie zagrożeń w czasie rzeczywistym zabezpiecza udostępnianie plików i chroni dane firmowe przed cyberatakami.

Wycena indywidualna
Zobacz więcej
Warsztaty jednodniowe Hardening środowiska Windows - Tiering Active Directory, Credential Guard, Jump Servers, Privileged Access Workstations Nowość

Hardening środowiska Windows - Tiering Active Directory, Credential Guard, Jump Servers, Privileged Access Workstations Terminy ustalane są indywidualnie po osiągnięciu minimalnej liczby uczestników. Warsztaty odbywają się w formie ONLINE.

1722.00 PLN
Zobacz więcej