15/08/25
В новой волне кибератак применялся CrossC2 — инструмент для расширения возможностей Cobalt Strike на платформы Linux и macOS. Координационный центр JPCERT/CC сообщил, что эти атаки проходили с сентября по декабрь 2024 года и затронули несколько стран, включая Японию.
Анализ загруженных в VirusTotal следов показал, что злоумышленники комбинировали CrossC2 с другими инструментами, такими как PsExec, Plink и сам Cobalt Strike, чтобы проникнуть в инфраструктуру Active Directory. Для загрузки Cobalt Strike применялось специально разработанное вредоносное ПО, получившее название ReadNimeLoader, пишет Securitylab.
CrossC2 — это неофициальная версия Beacon и его конструктора, которая позволяет выполнять команды Cobalt Strike на разных операционных системах после установления соединения с удалённым сервером, заданным в конфигурации. В зафиксированных случаях злоумышленники создавали на заражённых машинах запланированную задачу для запуска легитимного исполняемого файла java.exe, который использовался для боковой загрузки ReadNimeLoader в библиотеке «jli.dll».
Сам ReadNimeLoader написан на языке Nim и загружает в память содержимое текстового файла, избегая записи данных на диск. Загруженный код представляет собой OdinLdr — открытый загрузчик шелл-кода, который декодирует встроенный Beacon Cobalt Strike и исполняет его также в памяти. Механизм включает приёмы антиотладки и антианализа, не позволяющие декодировать OdinLdr до полной проверки окружения.
JPCERT/CC отметила сходство этой кампании с активностью операторов BlackSuit/Black Basta, о которой Rapid7 сообщала в июне 2025 года. Пересечения выявлены в используемом домене командного сервера и в наименованиях файлов. Дополнительно обнаружены несколько ELF-версий бэкдора SystemBC, часто предшествующего установке Cobalt Strike и развёртыванию программ-вымогателей.
Особое внимание эксперты уделили тому, что злоумышленники активно заржали Linux-серверы внутри корпоративных сетей. Многие такие системы не оснащены EDR-решениями или аналогичными средствами обнаружения, что делает их удобной точкой входа для дальнейшего развития атаки. Это повышает риск масштабного проникновения и требует усиленного контроля за подобными сегментами инфраструктуры.
