Ciberataques com CrossC2 visam servidores Linux no Japão

O Centro de Coordenação de Resposta a Incidentes de Segurança do Japão (JPCERT/CC) divulgou que, entre setembro e dezembro de 2024, foram observados ataques utilizando um framework de comando e controle (C2) chamado CrossC2. Este framework é projetado para estender a funcionalidade do Cobalt Strike a plataformas como Linux e macOS, permitindo controle de sistemas de forma cruzada. Os ataques, que afetaram diversos países, incluindo o Japão, foram analisados a partir de artefatos do VirusTotal. Os invasores utilizaram o CrossC2 juntamente com ferramentas como PsExec, Plink e Cobalt Strike para tentar penetrar em redes Active Directory (AD). A investigação revelou que um malware personalizado, denominado ReadNimeLoader, foi utilizado como carregador para o Cobalt Strike. Este carregador, escrito na linguagem Nim, executa código diretamente na memória, evitando deixar rastros no disco. Além disso, a campanha de ataque mostrou sobreposições com atividades de ransomware BlackSuit/Black Basta, destacando a presença de backdoors como o SystemBC. A falta de sistemas de detecção e resposta em muitos servidores Linux torna-os alvos vulneráveis, exigindo atenção redobrada das equipes de segurança.

Fonte: https://thehackernews.com/2025/08/researchers-warn-crossc2-expands-cobalt.html

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).