Японский координационный центр CERT (JPCERT/CC) выявил активное использование хакерами фреймворка CrossC2. Этот инструментарий позволяет адаптировать и развертывать популярный маяк Cobalt Strike на операционных системах Linux и Apple macOS, расширяя вектор атак за пределы традиционной среды Windows. Анализ артефактов, полученных с платформы VirusTotal, показал, что данная кампания была активна в период с сентября по декабрь 2024 года и была направлена на цели в нескольких странах, включая Японию.
Основной целью злоумышленников является проникновение в Active Directory (AD) жертвы. Для достижения этой цели они используют комбинацию легитимных и вредоносных инструментов. Ключевыми компонентами их арсенала являются фреймворк CrossC2 для кроссплатформенной адаптации, сам Cobalt Strike в качестве основного постэксплуатационного модуля, а также утилиты PsExec и Plink для удаленного выполнения команд и создания туннелей.
Центральным элементом атаки является специально разработанный загрузчик для маяка Cobalt Strike, получивший кодовое название ReadNimeLoader. Этот загрузчик написан на языке программирования
Изображение носит иллюстративный характер
Основной целью злоумышленников является проникновение в Active Directory (AD) жертвы. Для достижения этой цели они используют комбинацию легитимных и вредоносных инструментов. Ключевыми компонентами их арсенала являются фреймворк CrossC2 для кроссплатформенной адаптации, сам Cobalt Strike в качестве основного постэксплуатационного модуля, а также утилиты PsExec и Plink для удаленного выполнения команд и создания туннелей.
Центральным элементом атаки является специально разработанный загрузчик для маяка Cobalt Strike, получивший кодовое название ReadNimeLoader. Этот загрузчик написан на языке программирования
