Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Golang Varyantı macOS’yi Hedefliyor

Golang Varyantı macOS’yi Hedefliyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 3 dk okuma süresi
275 0
Golang Varyantı

Cobalt Strike, Golang Varyantı macOS’yi Hedefliyor.

Esas olarak Windows sistemlerine yönelik saldırıları simüle etmek için kullanılan güçlü ve sıklıkla kötüye kullanılan bir araçtır. Ancak siber suçlular, macOS cihazlarını hedefleyebilen Deacon adlı bu aracın açık kaynaklı bir sürümüne giderek daha fazla yöneliyor.

Golang Varyantı , Şubat 2020’den beri GitHub’da mevcut ve siber suç dünyasında popülerlik kazanıyor.

Saldırılarda Artışlar

  • SentinelOne, Virustotal’a gönderilen dosya sayısında son zamanlarda bir artış gözlemleyerek kullanımında bir artışa işaret etti. Bazı örnekler kırmızı takım operasyonlarıyla bağlantılı olsa da, diğerleri siber ortamda kötü amaçlı saldırıların bir parçası gibi görünüyor.
  • 5 Nisan’da, Xu Yiqing’in Resume_20230320 adlı kötü amaçlı bir AppleScript uygulaması.uygulama, virustotal’a yüklendi. Bu komut dosyası çalıştırıldığında uzak bir sunucuya ulaşır ve bir Deacon yükü indirir.
    Uygulama, hedef sistemin mevcut mimarisini belirlemek ve Apple silicon veya Intel mimarisi için ilgili Geacon yükünü indirmek üzere tasarlanmıştır.

İki yeni Golang Varyantı Var

Araştırmacılar, Ekim 2022’de z3ratu1 ve H4de5 takma adını kullanan bilinmeyen Çinli geliştiriciler tarafından geliştirilen geacon_plus ve geacon_pro adlı iki yeni Deacon örneği belirlediler.

  • Geacon_plus varyantı CobaltStrike sürüm 4.0’ı desteklerken geacon_pro, CobaltStrike sürüm 4.1ve sonraki sürümlerini desteklemek üzere tasarlanmıştır.
  • Geacon_pro github’dan kaldırılmış olsa da, 6 Mart’tan arşivlenmiş bir anlık görüntü, bu varyantın Kaspersky, Qihoo 360, Microsoft Defender ve 360 Core Crystal gibi popüler virüsten koruma ürünlerinden kaçma yeteneğine sahip olduğunu gösteriyor.

İlginizi Çekebilecek Yazımız: Apple Güncellemesiyle 3 Zeroday Açığı Kapatıldı

Atak Detayları

Deacon örneklerinden birinin uzaktan destek uygulaması Güvenli Bağlantısı olarak poz verdiği ve öncelikle Intel cihazlarını hedeflediği bulundu.

  • İmzasız uygulama, cihazda depolanan kişi, hatırlatıcı, kamera, mikrofon ve fotoğraflara erişim ister.
  • İkinci yükün ana bileşeni, daha fazla talimat almak için Japonya’da bulunan C2 sunucusuna bağlanır.

Sonuç Olarak 

Virustotal’da bulunan Deacon örneklerinin sayısının artması, siber suçluların bunu Kobalt Saldırısına benzer şekilde ele aldığını gösteriyor.

Sonuç olarak, güvenlik ekiplerinin Geacon ve Cobalt Strike’ın tüm varyasyonlarına etkili bir şekilde karşı koyabilecek bir savunma stratejisine sahip olması çok önemlidir. Saldırı kampanyalarını daha iyi anlamak ve korunmak için gerekli güvenlik önlemlerini uygulamak için en son ıoc’lerin kullanılması önerilir.

Haber Kaynağı: Cyware Social

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir