O JPCERT/CC verificou vários eventos nos quais os atores de ameaças foram vistos usando o Crossc2, uma ferramenta de extensão não oficial que cria beacons de cobalto que funcionam com Linux e MacOS.
Esta campanha, que direcionou as infraestruturas do Active Directory (AD), envolveu o uso de CrossC2, juntamente com ferramentas estabelecidas, como o PSEXEC para movimento lateral, plink para o tunelamento SSH e cargas úteis de greve de cobalto nativas.
Análises adicionais revelaram a integração de um carregador personalizado chamado ReadNimeloader, escrito em NIM, que facilita a execução na memória de ataque de cobalto via DLL Sideloading.
As evidências de submissões Virustototal indicam que essa operação se estendeu além do Japão, impactando organizações em vários países.
Os invasores exploraram servidores Linux como pontos de entrada em potencial, capitalizando a frequência ausência de sistemas de detecção e resposta para pontos de extremidade (EDR) em tais ambientes, permitindo assim uma penetração e persistência de rede mais profundas.
Visão geral da campanha de ataque
Crossc2, desenvolvido em C e compatível com o Cobalt Strike versão 4.1 e posterior, suporta arquiteturas x86, x64 e m1 no Linux e MacOS.
Após a execução, ele força um processo filho para lidar com operações principais, recuperando detalhes C2 de configurações incorporadas ou variáveis de ambiente como CCHOST e CCPORT.
Embora ele execute um subconjunto de comandos de greve de cobalto, o Crossc2 incorpora medidas anti-análises, incluindo codificação de string xor de byte único e extensa inserção de código lixo, que podem ser neutralizadas por corrigindo sequências de bytes específicas com nenhuma instrução.
A configuração é anexada ao binário, criptografado com AES-128-CBC (sem preenchimento) e localizado em varredura para a etiqueta “gancho” usando funções ReadLink e Fread.
Notavelmente, os beacons Crossc2 são embalados por padrão, exigindo remoção de configuração para descompacagem bem-sucedida antes da reinserção.
A cadeia de implantação de greve de cobalto começa com um java.exe legítimo invocado por meio do agendador de tarefas, que late os lados readnimeloader disfarçado de jli.dll do diretório C: $ reciclismo.bin .
ReadNimeloader descriptografa um arquivo readme.txt contendo ODINLDR, um carregador de código de shell de código aberto que decodifica e executa o incorporado Cobalt Strike Beacon na memória.
A ReadNimeloader emprega sofisticadas técnicas anti-debutas, como a verificação da bandeira de PEB, context_debug_registers, diferenciais de tempo que excedem 0x512 e verificação de manipuladores de exceção.
As chaves de descriptografia são geradas dinamicamente a partir dessas rotinas, combinadas com seqüências de caracteres XOR e processadas por AES-256-ECB para extração de carga útil.
O OdinLDR evita ainda mais a detecção re-criptografando o farol com teclas XOR aleatórias e armazenando-a na memória de heap prefixada com “ODINLDR1337”. Existem variações em que o ReadNimeLoader executa diretamente o farol sem Odinldr.
Suporte de análise
Os atacantes complementaram seu arsenal com variantes de elfos do SystemBC para comunicações proxyy, buscando ataques de assar asporais e utilitários de escalada de privilégios de Windows.
A atribuição aponta para uma conexão potencial com o Blackbasta Ransomware Group, evidenciado pelos domínios compartilhados C2, convenções de nomeação de arquivos como JLI.DLL e README.TXT e sobreposições táticas, incluindo exploração SystemBC e AS-Rep, conforme observado nos relatórios anteriores do RAPID7.
Para ajudar nas investigações, JPCert/CC tem lançado Um analisador de configuração baseado em Python no Github para extrair detalhes Crossc2 dos binários Linux e MacOS.
Essa ferramenta decodifica configurações criptografadas, revelando servidores C2, chaves públicas e outros artefatos. À medida que os servidores Linux se tornam cada vez mais cegos nas defesas corporativas, recomenda-se o monitoramento aumentado e a implantação da EDR para mitigar essas ameaças de várias plataformas.
Indicadores de compromisso (IOCs)
| Tipo | Indicador | Descrição |
|---|---|---|
| IP: porta | 162.33.179.247:8443 | Servidor Crossc2 C2 |
| Domínio | api.glazeceramics.com:443 | Cobalt Strike C2 |
| Hash (SHA256) | 56B941F6DCB769AE6D69995412559012ABAB830F05D5D8ACF2648F7FA48C20833 | ReadNimeloader (jli.dll) |
| Hash (SHA256) | 28D668F3E1026A56D55BC5D6E36FAD71622C1AB20ACE52D3AB12738F9F8C6589 | Crossc2 (GDS) |
| Hash (SHA256) | 74A33138CE1E57564BAA4A4DB4A882D6BF51081B79A167A6CB2BF9130DDAD7F | Elf-Systembc (monitor) |
AWS Security Services:10-Point Executive Checklist -Download for Free