Crossc2

O Centro de Coordenação de Resposta a Incidentes de Segurança do Japão (JPCERT/CC) divulgou que entre setembro e dezembro de 2024, foram observados ataques utilizando um framework de comando e controle (C2) chamado CrossC2. Este framework expande a funcionalidade do Cobalt Strike para plataformas como Linux e macOS, permitindo controle cruzado de sistemas. Os atacantes usaram ferramentas como PsExec e Plink, além de um malware personalizado denominado ReadNimeLoader, que atua como carregador para o Cobalt Strike. O ReadNimeLoader, escrito na linguagem Nim, executa código diretamente na memória para evitar rastros no disco. Os ataques visaram servidores Linux, que frequentemente não possuem sistemas de detecção e resposta a ameaças (EDR), tornando-os alvos vulneráveis. A campanha de ataque também mostrou sobreposição com atividades de ransomware BlackSuit/Black Basta, indicando um cenário de ameaça crescente. JPCERT/CC enfatiza a necessidade de maior atenção a esses servidores, dada a falta de proteção adequada e o potencial de comprometimento adicional.