El domingo, el Centro de Regulación de Certificados de Japón (JPCERT/CC) reveló el jueves que se observó un incidente que implicaba el uso de un marco de comando y control (C2) llamado CrossC2.
La agencia dijo que la actividad se detectó entre septiembre y diciembre de 2024 y se dirigió a múltiples países, incluido Japón, basado en un análisis de artefactos virustotales.
«En sus intentos de penetrar en EA, los atacantes adoptaron CrossC2 y otras herramientas como PSEXEC, Plink y Cobalt Strike. Una mayor investigación reveló que los atacantes usaron malware personalizado como el cargador de huelga de cobalto.
El cargador de baliza de ataque de cobalto hecho a medida se llama readnimeloader. CrossC2, una baliza y constructor no oficial, puede ejecutar varios comandos de ataque de cobalto después de establecer la comunicación con el servidor remoto especificado en la configuración.
En un ataque documentado por JPCERT/CC, las tareas programadas establecidas por los actores de amenaza en la máquina comprometida se utilizan para lanzar binarios legítimos Java.exe, que luego se abusan y eliminan ReadNimeloader («Jli.dll»).
Un cargador escrito en el lenguaje de programación NIM extrae el contenido de un archivo de texto y lo ejecuta directamente en la memoria para evitar dejar trazas en el disco. Este contenido cargado es un cargador de shellcode de código abierto llamado OdinLDR que se descifrará y ejecutará en la memoria.
Readnimeloader también incorpora una variedad de técnicas preventivas y antianalíticas diseñadas para evitar que OdinDLD se decodifique a menos que la ruta sea clara.
JPCERT/CC dijo que la campaña de ataque compartió cierto grado de superposición con la actividad de ransomware BlackSuit/Black Basta informada por RAPID7 en junio de 2025, citando archivos con nombres similares a los duplicados de los dominios de comando y control (C2) utilizados.
Otro aspecto notable es la presencia de varias versiones ELF de SystemBC. Esta es una puerta trasera que actúa como precursor del despliegue de ataques de cobalto y ransomware.
«Hay muchos incidentes, incluidos los ataques de cobalto, pero este artículo se centró en casos específicos en los que CrossC2, una herramienta que extiende la funcionalidad de baliza de ataque de cobalto a múltiples plataformas, se usó en el ataque y comprometió servidores de Linux dentro de la red interna», dice Masubuchi.
«Muchos servidores de Linux no tienen SEDR o sistemas similares instalados y, por lo tanto, tienen un punto de entrada potencial para un mayor compromiso, por lo que debe tener más cuidado».
Source link
