Geacon គឺជា Cobalt Strike សរសេរក្នុងភាសាកម្មវិធី Golang ដែលវាទំនងជាទាក់ទាញការចាប់អារម្មណ៍ពីតួអង្គគំរាមកំហែងដែលកំពុងស្វែងរកឧបករណ៍ macOS ដែលងាយរងគ្រោះ។ តួអង្គគំរាមកំហែងប្រើប្រាស់ Cobalt Strike ដើម្បីបំពានលើ Windows PCs អស់រយៈពេលជាច្រើនឆ្នាំ បើទោះបីជាឧស្សាហកម្ម infosec បន្តខិតខំប្រឹងប្រែងដើម្បីបញ្ឈប់វាក៏ដោយ។
លទ្ធផលស្រាវជ្រាវរបស់ក្រុម SentinelOne បញ្ជាក់ពីការរកឃើញនេះបន្ទាប់ពីក្រុមអ្នកស្រាវជ្រាវឃើញកំណើននៃចំនួនបន្ទុក Geacon ដែលត្រូវរកឃើញលើវេបសាយ VirusTotal កាលពេលថ្មីៗនេះ។ ក្រុម Fortra បង្កើត Cobalt Strike ដែលជា red teaming និងជាឧបករណ៍បន្លំដ៏ល្បីឈ្មោះ។ ដោយសារតែសមត្ថភាពជាច្រើនរបស់ពួកគេ តួអង្គគំរាមកំហែងប្រើប្រាស់កំណែបច្ចុប្បន្នភាពដោយខុសច្បាប់របស់កម្មវិធីយូរមកហើយ។ ខណៈពេលដែលសកម្មភាពក្រោយការកេងប្រវ័ញ្ចរបស់ Cobalt Strike ភាគច្រើនផ្តោតលើប្រព័ន្ធប្រតិបត្តិការ Windows ការវាយលុកប្រឆាំងនឹង macOS គឺមានភាពមិនធម្មតាទេ។
Geacon គឺជាច្រក Cobalt Strike ដ៏ជោគជ័យដែលបង្ហាញខ្លួនជាលើកដំបូងនៅលើវេទិកា GitHub ប៉ុន្តែវាហាក់បីដូចជាមិនមានក្រុមហេគឃ័រណាចាប់អារម្មណ៍លើវានោះទេ។ បើយោងតាមទិន្នន័យប្រវត្តិសាស្រ្តពី Virus Total បញ្ជាក់ឱ្យដឹងថា បន្ទុក Mach-O សម្រាប់កំណែឥតគិតថ្លៃនៃ fork ត្រូវគេរាយការណ៍ថាកំពុងស្ថិតក្នុងការអភិវឌ្ឍន៍ចាប់តាំងពីខែវិច្ឆិកា ឆ្នាំ2022 ។
Geacon fork ត្រូវបន្ថែមទៅក្នុងគម្រោង 404 Starlink។ គម្រោង 404 Starlink គឺជាឃ្លាំង GitHub សាធារណៈដែលបង្ហាញដល់ឧបករណ៍ red-team pen-testing ដែលត្រូវថែរក្សាដោយមន្ទីរពិសោធន៍ Zhizhi Chuangyu កាលពីឆ្នាំ2020។ ការបន្ថែមនេះចូលរួមចំណែកដល់ការកើនឡើងនៃប្រជាប្រិយភាពរបស់ច្រក Geacon និងហាក់ដូចជាទាក់ទាញអ្នកប្រើប្រាស់ដោយចេតនាព្យាបាទ។
ប្រភព SentinelOne ឱ្យដឹងថា ការដាក់ស្នើ VirusTotal ចំនួន២ ចាប់ពីថ្ងៃទី5 ខែមេសា ដល់ថ្ងៃទី11 ខែមេសា មានឧទាហរណ៍ពីរបញ្ជាក់ពីការដាក់ពង្រាយច្រក Geacon ព្យាបាទ។ ឧទាហរណ៍ទី១នោះគឺជាឯកសារបច្ចុប្បន្នភាព AppleScript ដែលមានឈ្មោះ “Xu Yiqing’s Resume_20230320.app ដែលពិនិត្យមើលថាតើប្រព័ន្ធ macOS អាចប្រើដែរឬទេ មុនពេលទាញយកបន្ទុកកម្មវិធី Geacon Plus ដែលមិនចុះហត្ថលេខា ចេញពីម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រង (C2) ដែលមានអាសយដ្ឋាន IP របស់ប្រទេសចិន។ អ្នកប្រើប្រាស់បង្ហាញឯកសារបញ្ឆោត ២ទំព័រដែលត្រូវបញ្ចូលទៅក្នុងប្រព័ន្ធគោលពីរ Geacon មុនពេលវាចាប់ផ្តើមសកម្មភាពចាប់សញ្ញារបស់វា។ ប្រវត្តិរូបសង្ខេបរបស់បុគ្គលម្នាក់ឈ្មោះ Xu Yiqing អាចមើលឃើញនៅក្នុងឯកសារ PDF ដែលបើកប្រើ។
អ្នកស្រាវជ្រាវពន្យល់ថា ប្រព័ន្ធគោលពីរ Geacon ដែលចងក្រងមានមុខងារជាច្រើនសម្រាប់កិច្ចការដូចជា ការទំនាក់ទំនងបណ្តាញ ការអ៊ិនគ្រីប ការឌិគ្រីប ការទាញយកបន្ទុកបន្ថែម និងការទាញយកទិន្នន័យ។បន្ទុកទី២ គឺជាកំណែមានមេរោគ នៃកម្មវិធី SecureLink ដែលត្រូវប្រើសម្រាប់ការប្រើប្រាស់ពីចម្ងាយដែលមានសុវត្ថិភាពហៅថា SecureLink.app ក្នុងនោះមានច្បាប់ចម្លង របស់ Geacon Pro ផងដែរ។ ប្រព័ន្ធគោលពីរនៅក្នុងឧទាហរណ៍នេះអាចប្រើតែនៅលើ Mac OS X 10.9 (Mavericks) និងកំណែបន្តបន្ទាប់ទៀត ដែលជាប្រព័ន្ធផ្អែកលើប្រព័ន្ធរបស់ប្រតិបត្តិការ Intel ។បើទោះបីជាដំណើរការទាំង២នេះគឺជាការអនុញ្ញាតដែលមានគ្រោះថ្នាក់ខ្លាំងក៏ដោយ ប្រភេទនៃកម្មវិធីក្លែងក្លាយធ្វើឱ្យការសង្ស័យរបស់អ្នកប្រើប្រាស់ស្ថិតនៅកម្រិតទាបដែលបញ្ឆោតពួកគេឱ្យយល់ព្រមលើសំណើរបស់កម្មវិធី។អ្នកស្រាវជ្រាវនិយាយថា ក្រុមសន្តិសុខសហគ្រាសអាចទទួលអត្ថប្រយោជន៍ពីឧបករណ៍បន្លំ ដែលមានដូចជា Cobalt Strike និងការសម្របសម្រួល macOS Go របស់វាដែលជា Geacon ៕
ប្រភព gbhackers ចុះផ្សាយថ្ងៃទី១៧ ខែឧសភា ឆ្នាំ២០២៣
