Crossc2

O Centro de Coordenação de Resposta a Incidentes de Segurança do Japão (JPCERT/CC) divulgou que, entre setembro e dezembro de 2024, foram observados ataques utilizando um framework de comando e controle (C2) chamado CrossC2. Este framework é projetado para estender a funcionalidade do Cobalt Strike a plataformas como Linux e macOS, permitindo controle de sistemas de forma cruzada. Os ataques, que afetaram diversos países, incluindo o Japão, foram analisados a partir de artefatos do VirusTotal. Os invasores utilizaram o CrossC2 juntamente com ferramentas como PsExec, Plink e Cobalt Strike para tentar penetrar em redes Active Directory (AD). A investigação revelou que um malware personalizado, denominado ReadNimeLoader, foi utilizado como carregador para o Cobalt Strike. Este carregador, escrito na linguagem Nim, executa código diretamente na memória, evitando deixar rastros no disco. Além disso, a campanha de ataque mostrou sobreposições com atividades de ransomware BlackSuit/Black Basta, destacando a presença de backdoors como o SystemBC. A falta de sistemas de detecção e resposta em muitos servidores Linux torna-os alvos vulneráveis, exigindo atenção redobrada das equipes de segurança.