Perşembe günü Japonya’nın sertifika koordinasyon merkezi (JPCERT/CC), platformlar arası sistem kontrolü için Linux ve Apple macOS gibi diğer platformlara kobalt grevinin işlevselliğini genişletmek için tasarlanmış CrossC2 adı verilen bir komut ve kontrol (C2) çerçevesinin kullanımını içeren olayları gözlemledi.
Ajans, faaliyetin Eylül ve Aralık 2024 arasında tespit edildiğini ve Japonya da dahil olmak üzere birçok ülkeyi Virustotal eserlerin analizine dayanarak hedeflediğini söyledi.
JPCert/CC araştırmacısı Yuma Masubuchi, bugün yayınlanan bir raporda, “Saldırgan CrossC2 ve Psexec, Plink ve Cobalt Strike gibi diğer araçları kullandı. Daha fazla araştırma, saldırganın özel kötü amaçlı yazılımları kobalt grevi için bir yükleyici olarak kullandığını ortaya koydu.” Dedi.
Ismarlama Kobalt Strike Beacon Loader, ReadNimeloader kodlandı. Resmi olmayan bir işaret ve inşaatçı olan CrossC2, yapılandırmada belirtilen bir uzak sunucu ile iletişim kurduktan sonra çeşitli kobalt grev komutları yürütebilir.
JPCERT/CC tarafından belgelenen saldırılarda, tehdit oyuncusu tarafından tehlikeye atılan makinede kurulan planlanmış bir görev, daha sonra ReadNimeloader (“JLI.DLL”) kenar yükü için istismar edilen meşru Java.exe ikili başlatmak için kullanılır.
NIM programlama dilinde yazılan yükleyici, bir metin dosyasının içeriğini çıkarır ve diskte izleri bırakmaktan kaçınmak için doğrudan bellekte yürütür. Bu yüklü içerik, nihayetinde gömülü kobalt grev işaretini kodlayan ve aynı zamanda bellekte çalıştıran Odinldr olarak adlandırılan açık kaynaklı bir Shellcode yükleyicidir.
ReadNimeloader ayrıca, rota net olmadıkça Odinldr’ın kod çözülmesini önlemek için tasarlanmış çeşitli anti-debugging ve anti-analiz tekniklerini de içerir.
JPCERT/CC, saldırı kampanyasının, Haziran 2025’te Rapid7 tarafından bildirilen Blacksuit/Black Basta Fidye Yazılımı etkinliği ile bir miktar örtüşme paylaştığını ve kullanılan komut ve kontrol (C2) alanında ve benzer şekilde adlandırılan dosyalarda örtüştüğünü söyledi.
Bir diğer önemli yön, genellikle kobalt grevinin ve fidye yazılımlarının konuşlandırılmasının öncüsü görevi gören bir arka kapı olan SystemBC’nin birkaç ELF sürümünün varlığıdır.
Masubuchi, “Kobalt grevini içeren çok sayıda olay olsa da, bu makale, kobalt grev işaret işlevini birden fazla platforma genişleten bir araç olan CrossC2’nin saldırılarda kullanıldığı ve dahili ağdaki Linux sunucularını tehlikeye attığı özel duruma odaklandı.” Dedi.
“Birçok Linux sunucusunun EDR veya benzer sistemleri yüklü değildir, bu da onları daha fazla uzlaşma için potansiyel giriş puanları haline getirir ve bu nedenle daha fazla dikkat gereklidir.”