攻击者利用CrossC2工具将Cobalt Strike攻击扩展至Linux与macOS平台
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
日本计算机应急响应小组(JPCERT/CC)发现黑客利用CrossC2框架攻击多个国家,并将Cobalt Strike扩展至Linux和macOS。攻击者通过定制恶意软件ReadNimeLoader渗透活动目录,利用合法程序侧加载恶意代码,避免留下痕迹。该活动与BlackSuit勒索软件有关,凸显Linux服务器防护不足的问题。
🎯
关键要点
- 日本计算机应急响应小组(JPCERT/CC)发现黑客利用CrossC2框架实施攻击。
- 攻击者将Cobalt Strike的功能扩展至Linux和macOS平台。
- 攻击活动主要发生在2024年9月至12月,针对多个国家,包括日本。
- 攻击者使用定制恶意软件ReadNimeLoader渗透活动目录,利用合法程序侧加载恶意代码。
- ReadNimeLoader采用Nim语言编写,能够在内存中直接执行代码,避免在磁盘留下痕迹。
- 该攻击活动与BlackSuit勒索软件有关,存在多个SystemBC后门的ELF版本。
- 许多Linux服务器未安装终端检测与响应(EDR)等防护系统,需引起重视。
❓
延伸问答
CrossC2工具是什么?
CrossC2是一个命令控制框架,旨在将Cobalt Strike的功能扩展至Linux和macOS平台。
攻击者如何利用ReadNimeLoader进行渗透?
攻击者通过创建计划任务启动合法的java.exe程序,侧加载ReadNimeLoader,从而渗透活动目录。
这次攻击活动主要针对哪些国家?
攻击活动主要针对日本等多个国家,发生在2024年9月至12月期间。
ReadNimeLoader的技术特点是什么?
ReadNimeLoader采用Nim语言编写,能够在内存中直接执行代码,避免在磁盘留下痕迹,并整合了多种反调试和反分析技术。
这次攻击与BlackSuit勒索软件有什么关联?
该攻击活动与BlackSuit勒索软件有关,主要体现在使用的C2域名和相似命名的文件上。
Linux服务器面临什么样的安全风险?
许多Linux服务器未安装终端检测与响应(EDR)等防护系统,可能成为进一步入侵的跳板。
➡️
