O Centro de Coordenação de Resposta a Incidentes de Segurança do Japão (JPCERT/CC) divulgou que entre setembro e dezembro de 2024, foram observados ataques utilizando um framework de comando e controle (C2) chamado CrossC2. Este framework expande a funcionalidade do Cobalt Strike para plataformas como Linux e macOS, permitindo controle cruzado de sistemas. Os atacantes usaram ferramentas como PsExec e Plink, além de um malware personalizado denominado ReadNimeLoader, que atua como carregador para o Cobalt Strike. O ReadNimeLoader, escrito na linguagem Nim, executa código diretamente na memória para evitar rastros no disco. Os ataques visaram servidores Linux, que frequentemente não possuem sistemas de detecção e resposta a ameaças (EDR), tornando-os alvos vulneráveis. A campanha de ataque também mostrou sobreposição com atividades de ransomware BlackSuit/Black Basta, indicando um cenário de ameaça crescente. JPCERT/CC enfatiza a necessidade de maior atenção a esses servidores, dada a falta de proteção adequada e o potencial de comprometimento adicional.
Fonte: https://thehackernews.com/2025/08/researchers-warn-crossc2-expands-cobalt.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
15/08/2025 • Risco: ALTO
ATAQUE
Ciberataques com CrossC2 afetam servidores Linux no Japão
RESUMO EXECUTIVO
Os ataques documentados pelo JPCERT/CC destacam a vulnerabilidade dos servidores Linux, que frequentemente não possuem EDR. A utilização de CrossC2 e Cobalt Strike em ambientes corporativos pode levar a comprometimentos graves, exigindo atenção imediata dos CISOs.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a recuperação de dados e interrupção de serviços.
Operacional
Comprometimento de servidores e potencial para ataques de ransomware.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Setores que utilizam servidores Linux']
📊 INDICADORES CHAVE
Vários países foram alvo dos ataques, incluindo o Japão.
Indicador
Sobreposição com atividades de ransomware BlackSuit/Black Basta.
Contexto BR
Uso de técnicas anti-debugging e anti-análise no ReadNimeLoader.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a presença de Cobalt Strike e CrossC2 em servidores Linux.
2
Implementar soluções EDR e monitoramento de atividades suspeitas.
3
Monitorar continuamente a atividade de rede e logs de acesso em servidores Linux.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a vulnerabilidade dos servidores Linux, que podem ser facilmente comprometidos devido à falta de proteção. A utilização de ferramentas como Cobalt Strike em ataques direcionados pode resultar em perdas financeiras significativas.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
