Negli ultimi mesi del 2024 sono state rilevate nuove campagne informatiche che sfruttano CrossC2, un potente framework command-and-control progettato per estendere le funzionalità di Cobalt Strike anche su piattaforme Linux e macOS. Questa evoluzione rappresenta una minaccia significativa per la sicurezza dei sistemi aziendali, poiché rende la piattaforma di attacco cross-platform e più difficile da rilevare rispetto agli attacchi tradizionali focalizzati su Windows.

Attacchi osservati e tecniche utilizzate

Secondo quanto riportato dal centro di coordinamento CERT giapponese, tra settembre e dicembre 2024 sono stati osservati diversi attacchi che, utilizzando CrossC2 insieme a strumenti come PsExec, Plink e lo stesso Cobalt Strike, hanno tentato di compromettere Active Directory e altri sistemi critici, soprattutto in Giappone ma anche in altri paesi. L’elemento chiave di queste campagne è un loader personalizzato, chiamato ReadNimeLoader, scritto in linguaggio Nim, che viene caricato tramite una DLL malevola sfruttando una legittima esecuzione di java.exe.

ReadNimeLoader si distingue per la capacità di estrarre e caricare direttamente in memoria il contenuto di file di testo, evitando così di lasciare tracce evidenti su disco. Il payload caricato è OdinLdr, un shellcode loader open-source che decifra e attiva il Beacon di Cobalt Strike anch’esso in memoria, massimizzando le capacità di evasione e stealth. A complicare ulteriormente l’analisi, il loader è dotato di tecniche anti-debug e anti-analisi che ostacolano gli strumenti di sicurezza e i ricercatori, impedendo la decodifica del payload se l’ambiente non è sicuro.

Sovrapposizioni con ransomware e minacce avanzate

Gli analisti hanno inoltre riscontrato diverse sovrapposizioni con le attività dei ransomware BlackSuit e Black Basta, tra cui l’utilizzo di domini C2 simili e file con nomi riconducibili a queste famiglie di malware. Un aspetto particolarmente preoccupante è l’impiego di varianti ELF di SystemBC, un backdoor multipiattaforma spesso usata come precursore per la distribuzione di Cobalt Strike e ransomware, confermando l’approccio sempre più sofisticato e modulare degli attaccanti.

Implicazioni per la sicurezza aziendale

Questa ondata di attacchi mette in luce una problematica diffusa: molti server Linux non dispongono di soluzioni EDR o strumenti di difesa avanzata, diventando così facili punti d’ingresso per minacce persistenti. È fondamentale che le organizzazioni rafforzino la sicurezza dei sistemi Linux e adottino misure preventive per rilevare e bloccare framework come CrossC2 e Cobalt Strike prima che possano compromettere l’intera rete aziendale.