Ha surgido una sofisticada campaña de amenazas que aprovecha CrossC2, una herramienta de extensión no oficial que expande las notorias capacidades de Cobalt Strike más allá de los sistemas de Windows para apuntar a los entornos Linux y MacOS.
Entre septiembre y diciembre de 2024, se han documentado incidentes de ciberseguridad que involucran este malware multiplataforma, lo que representa una evolución significativa en las tácticas de actores de amenaza que tradicionalmente se centran en la infraestructura basada en Windows.
La campaña de ataque demuestra una notable sofisticación técnica, empleando una cadena de infecciones de varias etapas que comienza con procesos legítimos del sistema y despliega progresivamente componentes más maliciosos.
Los atacantes utilizaron una combinación de herramientas establecidas que incluyen PSEXEC, PLINK y el ataque de cobalto tradicional junto con la nueva extensión CrossC2, creando un marco de asalto integral capaz de penetrar entornos de directorio activo en múltiples sistemas operativos.
El alcance de la campaña se extiende más allá de Japón, con pruebas que sugieren actividades similares en múltiples países basados en presentaciones a Virustotal.
Analistas de JPCERT identificado Que los actores de amenaza desplegaron malware personalizado denominado “Readnimeloader”, que sirve como un cargador sofisticado diseñado específicamente para ejecutar cargas útiles de huelga de cobalto.
Este cargador, escrito en el lenguaje de programación NIM, demuestra técnicas avanzadas contra el análisis y representa una desviación significativa de los métodos de implementación de malware convencionales.
Flujo de la ejecución de la huelga de cobalto (fuente – JPCERT)
Los investigadores señalaron que la cadena de malware implica procesos legítimos de Java.exe que se ejecutan a través de tareas programadas, que posteriormente cargan archivos de DLL maliciosos a través de técnicas de revelación de DLL.
Mecanismos avanzados contra el análisis
El componente ReadNimeloader incorpora cuatro técnicas distintas contra la fallecimiento que complican significativamente los esfuerzos de análisis de malware.
Estos mecanismos incluyen el monitoreo del valor de BeingDebugged en el bloque de entorno de proceso (PEB), verificar los valores context_debug_register, medir los diferenciales de tiempo transcurridos e implementar la detección de depuración basada en excepción.
Particularmente digno de mención es el proceso de generación de claves del malware, donde las partes de la clave de descifrado requerida para la activación de la carga útil están integradas dentro de las propias funciones anti-análisis.
Esta decisión arquitectónica asegura que a menos que estas funciones protectores se ejecuten correctamente, no se puede generar la clave de descifrado correcta, evitando efectivamente el análisis estático de la carga útil.
El proceso de descifrado utiliza el cifrado de modo AES256-ECB, con claves generadas a través de un proceso sofisticado que involucra funciones de decodificación de cadenas.
El malware emplea dos mecanismos de decodificación basados en XOR distintos, con versiones posteriores que incorporan una función Decode02 adicional, que indica un desarrollo y refinamiento continuos por parte de los actores de amenazas.
La expansión multiplataforma del malware tradicionalmente centrado en Windows representa una tendencia preocupante, particularmente porque muchos servidores de Linux carecen de sistemas integrales de detección y respuesta de punto final, lo que puede proporcionar a los atacantes un tiempo de permanencia extendido y oportunidades de movimiento lateral expandido dentro de las redes comprometidas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
