Japanski CERT koordinacioni centar (JPCERT/CC) u četvrtak je otkrio da je zabilježio incidente koji uključuju upotrebu komandno-kontrolnog (C2) okvira pod nazivom CrossC2, osmišljenog da proširi funkcionalnost Cobalt Strike-a na druge platforme poput Linux-a i Apple macOS-a, radi unakrsne kontrole sistema.
Agencija je navela da je aktivnost otkrivena između septembra i decembra 2024. godine, a meta su bile brojne zemlje, uključujući Japan, na osnovu analize uzoraka sa VirusTotal-a.
„Napadač je koristio CrossC2, kao i druge alate poput PsExec-a, Plink-a i Cobalt Strike-a u pokušajima prodiranja u AD. Daljom istragom utvrđeno je da je napadač koristio prilagođeni malver kao loader za Cobalt Strike,“ naveo je istraživač JPCERT/CC-a, Juma Masubuči, u izvještaju objavljenom danas.
Prilagođeni Cobalt Strike Beacon loader dobio je kodno ime ReadNimeLoader. CrossC2, nezvanični Beacon i builder, sposoban je da izvršava različite Cobalt Strike komande nakon uspostavljanja komunikacije sa udaljenim serverom navedenim u konfiguraciji.
U napadima koje je dokumentovao JPCERT/CC, zakazani zadatak koji je haker postavio na kompromitovanom računaru koristi se za pokretanje legitimnog java.exe binarnog fajla, koji se potom zloupotrebljava da učita ReadNimeLoader („jli.dll“).
Napisano u programskom jeziku Nim, loader izvlači sadržaj tekstualne datoteke i izvršava ga direktno u memoriji, kako bi se izbjeglo ostavljanje tragova na disku. Taj učitani sadržaj je open-source shellcode loader nazvan OdinLdr, koji na kraju dekodira ugrađeni Cobalt Strike Beacon i pokreće ga, takođe u memoriji.
ReadNimeLoader takođe uključuje različite anti-debugging i anti-analitičke tehnike, osmišljene da spriječe dekodiranje OdinLdr-a osim ukoliko „put“ nije čist.
JPCERT/CC je saopštio da ova kampanja napada dijeli određene sličnosti sa aktivnošću ransomware-a BlackSuit/Black Basta, o kojoj je Rapid7 izvijestio u junu 2025. godine, navodeći podudaranja u komandno-kontrolnim (C2) domenima i slična imena fajlova.
Još jedan značajan detalj jeste prisustvo nekoliko ELF verzija SystemBC-a, backdoor-a koji često prethodi implementaciji Cobalt Strike-a i ransomware-a.
„Iako postoji veliki broj incidenata koji uključuju Cobalt Strike, ovaj članak se fokusirao na specifičan slučaj u kojem je CrossC2, alat koji proširuje funkcionalnost Cobalt Strike Beacon-a na više platformi, korišćen u napadima, kompromitujući Linux servere unutar interne mreže,“ rekao je Masubuči.
„Mnogi Linux serveri nemaju instalirane EDR ili slične sisteme, što ih čini potencijalnim ulaznim tačkama za dalje kompromitovanje pa je stoga potrebno posvetiti im više pažnje.“
Izvor: The Hacker News