CrossC2 Permite que Cobalt Strike Atue em Múltiplas Plataformas

Pesquisadores de cibersegurança da JPCERT/CC descobriram uma campanha de ataque sofisticada que utiliza o CrossC2, uma ferramenta não oficial que permite ao framework Cobalt Strike operar em sistemas Linux e macOS. Entre setembro e dezembro de 2024, os atacantes utilizaram essa capacidade multi-plataforma junto com um malware personalizado chamado ‘ReadNimeLoader’ para penetrar ambientes de Active Directory em diversos países, indicando uma evolução significativa nas ameaças cibernéticas. O CrossC2 expande as capacidades do Cobalt Strike, tradicionalmente focadas em Windows, para sistemas Unix, sendo compatível com arquiteturas x86 e x64 em Linux e dispositivos macOS baseados em Intel e M1. O malware ReadNimeLoader, escrito na linguagem Nim, atua como um carregador para os beacons do Cobalt Strike, empregando uma cadeia de execução complexa que inclui técnicas de evasão para evitar a detecção. A investigação sugere uma possível conexão com o grupo de ransomware BlackBasta, evidenciada por domínios de C2 associados e metodologias de ataque semelhantes. A campanha destaca a crescente tendência de atores de ameaças que expandem suas capacidades operacionais além dos ambientes Windows, tornando os servidores Linux alvos atraentes devido à falta de soluções robustas de detecção e resposta. A JPCERT/CC lançou uma ferramenta de análise para ajudar profissionais de segurança a examinar amostras do CrossC2, sublinhando a necessidade de monitoramento aprimorado em ambientes multi-plataforma.

Fonte: https://cyberpress.org/crossc2-cobalt-strike/

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).