Hackers utilizam CrossC2 para invadir sistemas Linux, macOS e Windows

O centro de coordenação do CERT do Japão (JPCERT/CC) revelou nesta quinta-feira a descoberta de incidentes de segurança em que hackers utilizaram um framework de comando e controle (C2) conhecido como CrossC2. A ferramenta foi projetada para estender a funcionalidade do notório Cobalt Strike Beacon, permitindo que os invasores controlem sistemas que operam em plataformas diversas como Linux e macOS.

A agência informou que a atividade maliciosa foi detectada entre setembro e dezembro de 2024, visando múltiplas nações, incluindo o Japão, com base na análise de artefatos enviados ao serviço VirusTotal. A investigação aponta para uma campanha sofisticada, onde os hackers não se limitaram a uma única ferramenta.

"O invasor empregou o CrossC2, bem como outras ferramentas como PsExec, Plink e o próprio Cobalt Strike, em tentativas de penetrar no Active Directory (AD). Investigações posteriores revelaram que o hacker usou um malware personalizado como um carregador (loader) para o Cobalt Strike", afirmou Yuma Masubuchi, pesquisador do JPCERT/CC, no relatório publicado hoje.

Este carregador customizado para o Cobalt Strike Beacon foi apelidado de ReadNimeLoader. O framework CrossC2, que atua como um construtor e Beacon não oficial, é capaz de executar vários comandos do Cobalt Strike após estabelecer comunicação com um servidor remoto especificado em sua configuração.

Nos ataques documentados pelo JPCERT/CC, o método de infecção inicial envolve uma tarefa agendada, configurada pelo invasor na máquina comprometida, para iniciar o processo legítimo java.exe. Este processo é então explorado através de uma técnica de DLL Sideloading para carregar o ReadNimeLoader, disfarçado como o arquivo jli.dll.

Escrito na linguagem de programação Nim, o ReadNimeLoader extrai o conteúdo de um arquivo de texto e o executa diretamente na memória, uma tática para evitar deixar rastros no disco e escapar da detecção por antivírus tradicionais. O conteúdo carregado é um shellcode loader de código aberto chamado OdinLdr, que por sua vez decodifica o Cobalt Strike Beacon embutido e o executa, também na memória. Para dificultar a análise por especialistas em segurança, o ReadNimeLoader incorpora várias técnicas anti-depuração e anti-análise, projetadas para impedir que o OdinLdr seja decodificado, a menos que o ambiente seja considerado "seguro" para a execução do malware.

O JPCERT/CC observou que esta campanha de ataque compartilha sobreposições com a atividade de ransomware do grupo hacker BlackSuit/Black Basta, relatada pela empresa de segurança Rapid7 em junho de 2025. As semelhanças incluem o uso do mesmo domínio de comando e controle (C2) e arquivos com nomes parecidos. Outro aspecto notável foi a presença de várias versões em formato ELF (executável para Linux) do SystemBC, um backdoor que frequentemente serve como precursor para a implantação do Cobalt Strike e de ransomware.

"Embora existam inúmeros incidentes envolvendo o Cobalt Strike, este artigo focou no caso particular em que o CrossC2, uma ferramenta que estende a funcionalidade do Cobalt Strike Beacon para múltiplas plataformas, foi usado em ataques, comprometendo servidores Linux dentro de uma rede interna", concluiu Masubuchi. "Muitos servidores Linux não possuem EDR ou sistemas similares instalados, tornando-os potenciais pontos de entrada para comprometimentos mais amplos e, portanto, exigem mais atenção."

Via - THN