Думали, Linux безопаснее Windows? Хакеры доказали обратное в корпорациях Японии

JPCERT/CC CrossC2 Cobalt Strike ReadNimeLoader OdinLdr SystemBC BlackSuit
Думали, Linux безопаснее Windows? Хакеры доказали обратное в корпорациях Японии
JPCERT/CC CrossC2 Cobalt Strike ReadNimeLoader OdinLdr SystemBC BlackSuit

Хакеры превратили Cobalt Strike в кроссплатформенную угрозу.

image

Япония столкнулась с новой волной кибератак , в которых применялся CrossC2 — инструмент для расширения возможностей Cobalt Strike на платформы Linux и macOS. Координационный центр JPCERT/CC сообщил , что эти атаки проходили с сентября по декабрь 2024 года и затронули несколько стран, включая Японию.

Анализ загруженных в VirusTotal артефактов показал, что злоумышленники комбинировали CrossC2 с другими инструментами, такими как PsExec, Plink и сам Cobalt Strike, чтобы проникнуть в инфраструктуру Active Directory. Для загрузки Cobalt Strike применялось специально разработанное вредоносное ПО, получившее название ReadNimeLoader.

CrossC2 — это неофициальная версия Beacon и его билдера, которая позволяет выполнять команды Cobalt Strike на разных операционных системах после установления соединения с удалённым сервером, заданным в конфигурации. В зафиксированных случаях злоумышленники создавали на заражённых машинах запланированную задачу для запуска легитимного исполняемого файла java.exe, который использовался для боковой загрузки ReadNimeLoader в библиотеке «jli.dll».

Сам ReadNimeLoader написан на языке Nim и загружает в память содержимое текстового файла, избегая записи данных на диск. Загруженный код представляет собой OdinLdr — открытый загрузчик шелл-кода, который декодирует встроенный Beacon Cobalt Strike и исполняет его также в памяти. Механизм включает приёмы антиотладки и антианализа, не позволяющие декодировать OdinLdr до полной проверки окружения.

JPCERT/CC отметила сходство этой кампании с активностью операторов BlackSuit/Black Basta, о которой Rapid7 сообщала в июне 2025 года. Пересечения выявлены в используемом домене командного сервера и в наименованиях файлов. Дополнительно обнаружены несколько ELF-версий бэкдора SystemBC, часто предшествующего установке Cobalt Strike и развёртыванию программ-вымогателей.

Особое внимание эксперты уделили тому, что злоумышленники активно компрометировали Linux-серверы внутри корпоративных сетей. Многие такие системы не оснащены EDR-решениями или аналогичными средствами обнаружения, что делает их удобной точкой входа для дальнейшего развития атаки. Это повышает риск масштабного проникновения и требует усиленного контроля за подобными сегментами инфраструктуры.