BeaconじゃなくてGeacon
Beaconは脅威をエミュレーションするツールであるCobalt Strikeのエージェントです。
Beaconはいわば攻撃用モジュールです。
レッドチームの利用を想定した製品ですが、実際のサイバー犯罪でも多数利用されてしまっています。
Geaconというものがあります。
GeaconはBeaconのGo言語版です。
GeaconはGitHub上で2020年頃から公開する人が現れています。
ソースコードだけでなく、簡単な使用方法まで含めて公開されています。
そしてこのGeaconはGoで記述されていますので、いろいろな動作環境用の実行形式にして使うことができます。
これまでのBeaconの悪用はWindows環境向けが多かったのですが、これがGeaconの登場でmacOS環境向けにも展開されるようになってきていることが観測されています。
GoにポーティングしたGeaconは複数公開されているのですが、そのひとつの作者の公開物が悪用が確認されています。
geacon_plusとgeacon_proです。
どちらも攻撃用モジュールなのですが、plusのほうがお試し用の機能縮小版で、proのほうが有償の多機能版となっています。
この両方のGeaconが悪用されています。
- geacon_plusの事例
悪用事例のひとつに、履歴書に見えるmacOS用の実行形式ファイルがあります。
拡張子がappとなっているコンパイル済みのAppleScriptアプレットです。
この実行ファイルは表面的にはファイル名に期待されるようにある人物の履歴書のPDFを開くようにできています。
しかしその裏側で、環境の種類を判定し、その環境に適合したgeacon_plusを読み込むように実装されています。
そしてgeacon_plusのもつ、ネットワーク通信、暗号化、復号化、さらなるペイロードのダウンロード、データの抽出などのタスクのための多数の機能が利用できる状態となります。 - geacon_proの事例
こちらの事例には、リモートサポートツールを装ったものが観測されています。
SecureLinkというリモートアクセスを提供するツールに見えるトロイです。
こちらはリモートアクセスツールとしてダウンロードさせるものですので、実行時に多くの権限をユーザに要求します。
しかしユーザにはリモートアクセスツールに見えていますので、要求された権限は許可してしまうだろうという作戦です。
このマルウェアはデバイスのカメラ、マイク、管理者権限に加え、TCC によって保護される連絡先、写真、リマインダーなどのデータへのアクセスを要求します。
これだけの権限があればいろいろなことができてしまうように考えられます。
2023年5月17時点ですでにgeacon_proのほうはGitHub上で参照できなくなっています。
しかしこういった性質のものですので、ソースコードやバイナリはどこかで保持されていることが考えられます。
正しく利用すると便利なツールには注意も必要です。
それと同じように、それらのフォークやポーティングしたものにも注意する必要がありそうです。
参考記事(外部リンク):Geacon Brings Cobalt Strike Capabilities to macOS Threat
Actors
www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/
