هکرها برای گسترش قابلیتهای Cobalt Strike Beacon به لینوکس و مک از ابزار تست نفوذ CrossC2 سوءاستفاده میکنند.
به گزارش افتانا، مرکز هماهنگی امنیت سایبری ژاپن (JPCERT/CC) اعلام کرد که در چند مورد فعالیت مشکوک، از چارچوب فرماندهی و کنترل (C2) به نام CrossC2 استفاده شده است. این ابزار به هکرها اجازه میدهد تا قابلیتهایCobalt Strike را به سیستمهای دیگر مانند لینوکس و macOS گسترش دهند و کنترل چندپلتفرمی روی آنها داشته باشند.
بر اساس گزارش این مرکز، این فعالیتها بین سپتامبر و دسامبر ۲۰۲۴ شناسایی شد و کشورهای متعددی، از جمله ژاپن، هدف قرار گرفتند. شواهد این حملات از تحلیل آثار موجود در VirusTotal به دست آمده است.
یما ماسوبوچی، پژوهشگر JPCERT/CC، گفت: «هکر از CrossC2 و ابزارهای دیگری مانند PsExec، Plink و Cobalt Strike برای نفوذ به دایرکتوری فعال استفاده کرده است. بررسیهای بیشتر نشان داد که مهاجم از بدافزاری سفارشی بهعنوان لودر Cobalt Strike استفاده کرده است.»
JPCERT/CC همچنین اشاره کرد که این کمپین با فعالیتهای BlackSuit/Black Basta در ژوئن ۲۰۲۵ همپوشانی دارد، ازجمله استفاده از دامنههای مشابه و فایلهای نامگذاریشده مشابه. نکته قابل توجه دیگر، وجود نسخههای ELF از SystemBC است؛ یک درِ پشتی که معمولاً پیش از استقرار Cobalt Strike و باجافزار استفاده میشود.
ماسوبوچی تأکید کرد: «در حالی که موارد زیادی از حملات با Cobalt Strike وجود دارد، این گزارش تمرکز خود را بر موردی گذاشته که در آن CrossC2 برای نفوذ به سرورهای لینوکس در شبکه داخلی استفاده شده است. بسیاری از سرورهای لینوکس، EDR یا سیستمهای مشابه ندارند و این موضوع آنها را به ورودی بالقوه برای نفوذ بیشتر تبدیل میکند. بنابراین، توجه بیشتری به این موضوع نیاز است.»
