Каким образом Cobalt Strike научился атаковать серверы на Linux и macOS?

Японский координационный центр CERT (JPCERT/CC) выявил активное использование хакерами фреймворка CrossC2. Этот инструментарий позволяет адаптировать и развертывать популярный маяк Cobalt Strike на операционных системах Linux и Apple macOS, расширяя вектор атак за пределы традиционной среды Windows. Анализ артефактов, полученных с платформы VirusTotal, показал, что данная кампания была активна в период с сентября по декабрь 2024 года и была направлена на цели в нескольких странах, включая Японию.
Каким образом Cobalt Strike научился атаковать серверы на Linux и macOS?
Изображение носит иллюстративный характер

Основной целью злоумышленников является проникновение в Active Directory (AD) жертвы. Для достижения этой цели они используют комбинацию легитимных и вредоносных инструментов. Ключевыми компонентами их арсенала являются фреймворк CrossC2 для кроссплатформенной адаптации, сам Cobalt Strike в качестве основного постэксплуатационного модуля, а также утилиты PsExec и Plink для удаленного выполнения команд и создания туннелей.

Центральным элементом атаки является специально разработанный загрузчик для маяка Cobalt Strike, получивший кодовое название ReadNimeLoader. Этот загрузчик написан на языке программирования


Новое на сайте

Ссылка