您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

黑客使用勒索软件变种攻击macOS系统

时间:2023-05-17 17:22:38  来源:今日头条  作者:安鸾网络安全

一个名为Geacon的Golang Cobalt Strike实施很可能会引起针对Apple macOS系统的威胁参与者的注意。

这是根据SentinelOne的调查结果,它观察到最近几个月出现在ViRustotal上的Geacon有效载荷数量增加。

安全研究人员Phil Stokes和Dinesh Devadoss在一份报告中说:“虽然其中一些可能是红衫军的行动,但其他人则具有真正恶意攻击的特征。”

Cobalt Strike是一款著名的红色组队和敌手模拟工具,由Fortra开发。由于其无数的能力,非法破解版本的软件已被滥用的威胁行动者多年来。

虽然与Cobalt Strike相关的后利用活动主要针对windows,但针对macOS的此类攻击非常罕见。

2022年5月,软件供应链公司Sonatype披露了一个名为“pymafka”的流氓Python/ target=_blank class=infotextkey>Python软件包的细节,该软件包被设计用于在被入侵的Windows、macOS和linux主机上投放Cobalt Strike Beacon。

然而,随着Geacon人工制品在野外的出现,这种情况可能会发生改变。Geacon是Cobalt Strike的Go变体,于2020年2月在Github上发布。

对2023年4月上传的两个新VirusTotal样本的进一步分析发现,它们的起源可追溯到两个Geacon变种(geacon_plus和geacon_pro),这两个变种是由两名匿名的中国开发人员z3ratu1和H4de5在10月底开发的。

Geacon_pro项目在GitHub上不再可访问,但互联网档案馆在2023年3月6日捕获的快照显示,它能够绕过反病毒引擎,如微软Defender、卡巴斯基和奇虎360 360 360酷睿晶。

开发人员H4de5声称,该工具主要用于支持CobaltStrike版本4.1及更高版本,而geaconplus则支持CobaltStrike版本4.0。该软件的当前版本为4.8。

许某某的简历_20230320.app是SentinelOne发现的工件之一,它使用一个仅运行的AppleScript来连接远程服务器并下载一个Gecon有效负载。它与苹果硅和英特尔的架构兼容。

 

 

 

研究人员说:“未签名的”地理信息载体“的有效载荷是从中国的IP地址中检索出来的。”“在开始信标活动之前,用户会收到一份两页长的诱饵文件,嵌入在Gecon二进制文件中。打开一个PDF,显示一个名为”许某某“的人的简历。”

 

 

 

由geacon_plus源代码编译的gecon二进制文件包含多种功能,使其能够下载下一阶段的有效载荷和抽取数据,并方便网络通信。

根据网络安全公司的说法,第二个示例是嵌入在一个伪装成SecureLINK远程支持应用程序(SecureLink.app)并主要针对英特尔设备的特洛伊化应用程序中。

这些基本的、未经签名的应用程序请求用户允许访问联系人、照片、提醒以及设备的照相机和麦克风。它的主要组件是一个由geacon_pro项目构建的、连接到日本已知的命令和控制(C2)服务器的新的Gecon有效载荷。

在这一发展的同时,MacOS生态系统正被包括国家赞助的团体在内的各种潜在威胁行为者瞄准,以部署后门和信息窃取者。

研究人员说:“过去几个月来,Gecon样本的上升表明,安全团队应该关注这一工具,并确保他们的保护措施到位。”



Tags:勒索软件   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
揭开勒索软件LostTrust的神秘面纱
勒索软件LostTrust一直被安全社区认为是MetaEncryptor勒索软件的“换壳”产品,因为它们几乎使用了相同的数据泄露网站和加密程序。LostTrust勒索软件于2023年3月开始积极活动...【详细内容】
2023-11-02  Search: 勒索软件  点击:(186)  评论:(0)  加入收藏
为什么CISO需要将零信任作为应对勒索软件的强有力的策略
今年有望成为勒索软件攻击成本第二高的一年,威胁参与者依赖于新的欺骗性社交工程方法和武器化的AI。最近的米高梅泄密事件始于攻击者研究服务台员工的社交媒体个人资料,然后打...【详细内容】
2023-09-27  Search: 勒索软件  点击:(344)  评论:(0)  加入收藏
勒索软件伪装成Windows更新,可加密文件、删除备份
IT之家 7 月 10 日消息,近日一种名为“Big Head”的勒索软件正在伪装成 Windows 更新来感染用户的电脑,不仅能加密文件,还能删除备份,这种恶意软件的两个变种已经被安全研究机构...【详细内容】
2023-07-11  Search: 勒索软件  点击:(280)  评论:(0)  加入收藏
黑客使用勒索软件变种攻击macOS系统
一个名为Geacon的Golang Cobalt Strike实施很可能会引起针对Apple macOS系统的威胁参与者的注意。这是根据SentinelOne的调查结果,它观察到最近几个月出现在VirusTotal上的Ge...【详细内容】
2023-05-17  Search: 勒索软件  点击:(308)  评论:(0)  加入收藏
为何网络安全无法阻止勒索软件威胁?
今天小秋要给大家讲一个很重要的话题,就是为什么我们的网络安全防御对勒索软件无法抵御呢?这可真是一个让人头疼的问题啊!首先,我们得明白一件事,勒索软件可不是什么好东西,它们就...【详细内容】
2023-05-11  Search: 勒索软件  点击:(315)  评论:(0)  加入收藏
我们一起聊聊勒索软件如何传播?
勒索软件变得越来越复杂和有效,使其难以检测和预防。通常用于支付赎金的加密货币的可用性,以及它们为攻击者提供的匿名性,也使得恶意行为者更容易参与勒索软件攻击。根据 AAG...【详细内容】
2023-04-03  Search: 勒索软件  点击:(214)  评论:(0)  加入收藏
不能放松警惕的勒索软件攻击
区块链数据公司 Chainalysis 最近的一份报告显示,2022 年勒索软件的勒索付款显着下降。下降的原因是主要勒索软件团伙的破坏、加密货币价值的减弱以及组织最终加强了网络安全...【详细内容】
2023-03-14  Search: 勒索软件  点击:(61)  评论:(0)  加入收藏
使用Shodan图像揪出勒索软件团伙
我们在这篇博文中将侧重介绍Shodan如何帮助揭露支持勒索软件团伙的一些基础设施。Shodan是一种抓取banner信息的搜索引擎,可以收集直接连接到互联网的所有设备的信息。如果某...【详细内容】
2023-02-23  Search: 勒索软件  点击:(271)  评论:(0)  加入收藏
CISA发布ESXiArgs-Recover脚本,可修复 VMware ESXi勒索软件攻击
IT之家 2 月 9 日消息,意大利国家网络安全局(ACN)于上周日发布警告,已经有黑客利用 VMware ESXi 服务器漏洞,对全球数千台服务器发起勒索软件攻击,并警告组织采取行动保护其系统。...【详细内容】
2023-02-09  Search: 勒索软件  点击:(209)  评论:(0)  加入收藏
备份服务器免受勒索软件攻击的 9 个步骤
现在,勒索软件组织已经开始专门针对数据中心备份服务器攻击,因此企业应该大力保护这些备份服务器,以保障业务的正常开展。以下是保护备份服务器的九个步骤:一)及时打补丁一定要确...【详细内容】
2023-01-05  Search: 勒索软件  点击:(184)  评论:(0)  加入收藏
▌简易百科推荐
苹果“安全”神话破灭?!iOS首次出现木马病毒
一直以来,iOS系统都以“安全性极高”闻名手机圈。在封闭软硬件生态加持下,iOS确实要比安卓系统更安全点。但是,小雷要说但是了嚯,最近iOS却首次出现了木马病毒。图源:苹果近日,在...【详细内容】
2024-02-19    雷科技  Tags:木马   点击:(66)  评论:(0)  加入收藏
新型恶意软件曝光:可绕过微软SmartScreen,窃取用户敏感信息
IT之家 1 月 17 日消息,趋势科技近日发布安全公告,发现了名为 Phemedrone Stealer 的高危恶意软件,可以绕过微软 Windows 10 和 Windows 11 系统中的 Defender SmartScreen,窃取...【详细内容】
2024-01-17  IT之家    Tags:恶意软件   点击:(89)  评论:(0)  加入收藏
Chameleon 恶意木马曝光,伪装成谷歌 Chrome 浏览器等应用
IT之家 12 月 26 日消息,安全公司 Threat Fabric 日前曝光了一款名为“Chameleon”的恶意木马,该木马通常伪装成谷歌 Chrome 浏览器及部分银行应用,安装后便会在后台持续录制受...【详细内容】
2023-12-26    IT之家  Tags:恶意木马   点击:(90)  评论:(0)  加入收藏
手机中了木马病毒怎么办?
网络安全问题也日益突出。其中,手机中了木马病毒是一种常见的安全威胁。木马病毒是一种恶意软件,通常通过下载不明应用、点击恶意链接等方式传播,对手机和个人信息安全造成严重...【详细内容】
2023-12-22  小笣子的二两生活    Tags:木马病毒   点击:(129)  评论:(0)  加入收藏
揭开勒索软件LostTrust的神秘面纱
勒索软件LostTrust一直被安全社区认为是MetaEncryptor勒索软件的“换壳”产品,因为它们几乎使用了相同的数据泄露网站和加密程序。LostTrust勒索软件于2023年3月开始积极活动...【详细内容】
2023-11-02  FreddyLu666  微信公众号  Tags:勒索软件   点击:(186)  评论:(0)  加入收藏
12种常见的恶意软件类型与防范建议
自从计算机技术被广泛使用以来,恶意软件就一直以某种形式存在,但其存在的类型在不断发展演变。如今,随着人类社会数字化程度的不断提升,恶意软件已经成为现代企业组织面临的最...【详细内容】
2023-10-26  安全牛  微信公众号  Tags:恶意软件   点击:(177)  评论:(0)  加入收藏
防不胜防!黑客使用转码域名在谷歌上投放钓鱼网站 看不出任何差别
谷歌搜索上的各种恶意软件和钓鱼网站广告屡见不鲜,这种操作手法已经相当成熟,都是先做一个看似合规的网站去投放广告,等谷歌审核通过了再把落地页修改为恶意内容。之前蓝点网已...【详细内容】
2023-10-23  区块软件开发    Tags:钓鱼网站   点击:(66)  评论:(0)  加入收藏
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?
0x01 事件简介近期,在进行macOS终端威胁狩猎时,发现了一例macOS终端窃密木马,经过深入分析发现该木马专门针对macOS,会从受害者的机器上窃取大量敏感信息,包括浏览器自动填充...【详细内容】
2023-09-27  M_Altman  FreeBuf.COM  Tags:木马   点击:(275)  评论:(0)  加入收藏
什么是Spyware?加密货币中的Spyware有多危险?
作者:BTC_Chopsticks什么是 spyware?Spyware 是一种在后台运行的恶意软件,经过编程后可以跟踪和记录受感染设备上的活动并收集有关用户的个人信息。 然后,这些信息会被发送给攻...【详细内容】
2023-08-07    新浪网  Tags:Spyware   点击:(281)  评论:(0)  加入收藏
勒索软件伪装成Windows更新,可加密文件、删除备份
IT之家 7 月 10 日消息,近日一种名为“Big Head”的勒索软件正在伪装成 Windows 更新来感染用户的电脑,不仅能加密文件,还能删除备份,这种恶意软件的两个变种已经被安全研究机构...【详细内容】
2023-07-11    IT之家  Tags:勒索软件   点击:(280)  评论:(0)  加入收藏
站内最新
站内热门
站内头条