Hackers Found Using CrossC2 to Expand Cobalt Strike Beacon’s Reach to Linux and macOS
2025/08/14 TheHackerNews — 8月14日 (木) に、日本の CERT Coordination Center (JPCERT/CC) が明らかにしたのは、Cobalt Strike の機能を Linux/Apple macOS などのプラットフォームに拡張し、クロスプラットフォームのシステム制御を可能にする、C2 フレームワーク CrossC2 によるインシデントが確認されたことだ。
VirusTotal のアーティファクトの分析に基づき、2024年9月〜12月に日本を含む複数の国々を、CrossC2 が標的としていたことが検出されたと、JPCERT/CC は述べている。
JPCERT/CC の研究員である Yuma Masubuchi は、「攻撃者は AD への侵入を試みるために、CrossC2 に加えて PsExec/Plink/Cobalt Strike などのツールも使用していた。さらに調査を進めた結果、この攻撃者は Cobalt Strike のローダーとして、カスタム・マルウェアを使用していたことも明らかになった」と述べている。
このカスタムメイドの Cobalt Strike Beacon ローダーは、ReadNimeLoader というコードネームで呼ばれるものだ。非公式のビーコン/ビルダーである CrossC2 は、コンフィグで指定されたリモート・サーバとの通信を確立した後に、様々な Cobalt Strike コマンドを実行できるという。
JPCERT/CC が記録した攻撃では、侵害したマシン上で設定したスケジュール・タスクを利用する攻撃者が、正規の java.exe バイナリを起動し、それを悪用することでReadNimeLoader (jli.dll) をサイドロードしている。
Nim プログラミング言語で記述された、このローダーは、テキスト・ファイルの内容を抽出し、ディスク上に痕跡を残さずに、メモリ内でのダイレクトな実行を可能にする。そこでロードされたコンテンツは、OdinLdr と呼ばれる OSS シェル・コード・ローダーであり、エンベッドされている Cobalt Strike Beacon をデコードして、メモリ内で実行する。
この ReadNimeLoader には、さまざまなアンチ・デバッグ/アンチ解析の機能が組み込まれており、ルートが明確にならない限り OdinLdr のデコードを実行しない仕様になっている。
JPCERT/CC の見解は、2025年6月に Rapid7 が報告した BlackSuit/Black Basta ランサムウェアの活動と、今回の攻撃キャンペーンが、ある程度は重複しているというものだ。その理由として、使用されている C2 ドメインの類似性と、ファイル名における重複を指摘している。
もう一つの注目すべき点は、Cobalt Strike やランサムウェアの展開の前兆となることが多い、バックドア SystemBC の ELF バージョンが複数存在することだ。
Yuma Masubuchi は、「Cobalt Strike に関連するインシデントは数多くあるが、このレポートで焦点を当てたのは、Cobalt Strike Beacon の機能を複数のプラットフォームに拡張するツール CrossC2 が攻撃に使用され、社内ネットワーク内の Linux サーバが侵害された、特定のケースである。Linux サーバの多くでは、EDR などのシステムがインストールされていないため、さらなる侵害の入り口となる可能性がある。したがって、より一層の注意が必要である」と述べている。
Cobalt Strike を拡張する、CrossC2 というフレームワークを用いる攻撃が確認されたとのことです。この問題は、特定のソフトウェアの不備というよりも、攻撃者が既存ツールを巧みに組み合わせ、認証や防御をすり抜ける仕組みを作っている点にあります。特に注目すべきは、ReadNimeLoader というカスタムローダーが正規のプログラムを利用して DLL をサイドロードし、痕跡を残さずにマルウェアを実行する仕組みです。よろしければ、DLL Sideloading で検出も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.