O centro de coordenação CERT do Japão (JPCERT/CC) revelou na quinta-feira que observou incidentes que envolveram o uso de uma estrutura de command-and-control (C2) chamada CrossC2, projetada para estender a funcionalidade do Cobalt Strike para outras plataformas, como Linux e Apple macOS, para controle de sistema multiplataforma.
A agência disse que a atividade foi detectada entre setembro e dezembro de 2024, visando vários países, incluindo o Japão, com base em uma análise de artefatos do VirusTotal.
"O atacante empregou CrossC2, bem como outras ferramentas, como PsExec, Plink e Cobalt Strike em tentativas de penetrar no AD.
Investigações adicionais revelaram que o atacante usou malware personalizado como um carregador para o Cobalt Strike," disse o pesquisador do JPCERT/CC, Yuma Masubuchi, em um relatório publicado hoje.
O carregador Cobalt Strike Beacon personalizado foi codinomeado ReadNimeLoader.
O CrossC2, um Beacon e construtor não oficial, é capaz de executar vários comandos do Cobalt Strike após estabelecer comunicação com um servidor remoto especificado na configuração.
Nos ataques documentados pelo JPCERT/CC, uma tarefa agendada configurada pelo ator de ameaça na máquina comprometida é usada para iniciar o binário legítimo java.exe, que é então abusado para carregar lateralmente o ReadNimeLoader ("jli.dll").
Escrito na linguagem de programação Nim, o carregador extrai o conteúdo de um arquivo de texto e o executa diretamente na memória para evitar deixar rastros no disco.
Esse conteúdo carregado é um carregador de shellcode de código aberto apelidado de OdinLdr, que, por fim, decodifica o Cobalt Strike Beacon embutido e o executa, também na memória.
O ReadNimeLoader também incorpora várias técnicas anti-debugging e anti-análise projetadas para evitar que o OdinLdr seja decodificado, a menos que o caminho esteja livre.
O JPCERT/CC disse que a campanha de ataque compartilha algum nível de sobreposição com a atividade de ransomware BlackSuit/Black Basta relatada pela Rapid7 em junho de 2025, citando sobreposições no domínio de command-and-control (C2) usado e em arquivos com nomes semelhantes.
Outro aspecto notável é a presença de várias versões ELF do SystemBC, um backdoor que frequentemente atua como precursor da implantação do Cobalt Strike e ransomware.
"Embora haja inúmeros incidentes envolvendo o Cobalt Strike, este artigo focou no caso particular em que o CrossC2, uma ferramenta que estende a funcionalidade do Cobalt Strike Beacon para múltiplas plataformas, foi usado em ataques, comprometendo servidores Linux dentro de uma rede interna," disse Masubuchi.
Muitos servidores Linux não possuem sistemas EDR ou similares instalados, tornando-os pontos de entrada potenciais para comprometimentos adicionais, e, portanto, requerem mais atenção.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...