Cobalt Strike’ın Linux ve MacOS ortamlarını hedeflemek için Windows sistemlerinin ötesindeki kötü şöhretli yeteneklerini genişleten gayri resmi bir uzatma aracı olan CrossC2’den yararlanan sofistike bir tehdit kampanyası ortaya çıktı.
Eylül ve Aralık 2024 arasında, bu platformlar arası kötü amaçlı yazılımları içeren siber güvenlik olayları belgelenmiştir ve bu da geleneksel olarak pencere tabanlı altyapıya odaklanan tehdit aktör taktiklerinde önemli bir evrimi temsil etmektedir.
Saldırı kampanyası, meşru sistem süreçleriyle başlayan ve giderek daha fazla kötü amaçlı bileşen kullanan çok aşamalı bir enfeksiyon zinciri kullanan dikkate değer teknik gelişmişlik göstermektedir.
Saldırganlar, yeni CrossC2 uzantısının yanında Psexec, Plink ve geleneksel kobalt grevini içeren yerleşik araçların bir kombinasyonunu kullandı ve birden fazla işletim sisteminde Active Directory ortamlarına nüfuz edebilen kapsamlı bir saldırı çerçevesi oluşturdu.
Kampanyanın erişimi Japonya’nın ötesine uzanıyor ve birçok ülkede Virustotal’a gönderilmeye dayalı benzer faaliyetler öneriyor.
JPCERT analistleri, tehdit aktörlerinin, özel olarak kobalt grev yüklerini yürütmek için tasarlanmış sofistike bir yükleyici görevi gören “ReadNimeloader” olarak adlandırılan özel kötü amaçlı yazılım dağıttığını belirledi.
NIM programlama dilinde yazılan bu yükleyici, gelişmiş anti-analiz tekniklerini gösterir ve geleneksel kötü amaçlı yazılım dağıtım yöntemlerinden önemli bir ayrılmayı temsil eder.
.webp)
Araştırmacılar, kötü amaçlı yazılım zincirinin, daha sonra DLL kenar yükleme teknikleri aracılığıyla kötü niyetli DLL dosyalarını yükleyen planlı görevler aracılığıyla yürütülen meşru Java.exe işlemlerini içerdiğini belirtti.
Gelişmiş anti-analiz mekanizmaları
ReadNimeloader bileşeni, kötü amaçlı yazılım analizi çabalarını önemli ölçüde karmaşıklaştıran dört farklı anti-tahmging tekniği içerir.
Bu mekanizmalar, Process Ortam Bloğu’ndaki (PEB) varlık boynuzlu değerin izlenmesi, Context_debug_register değerlerinin kontrol edilmesi, geçilen zaman farklarını ölçme ve istisna tabanlı hata ayıklama algılamasının uygulanmasını içerir.
Özellikle dikkat çekici olan, yük aktivasyonu için gerekli şifre çözme anahtarının kısımlarının anti-analiz fonksiyonlarının içine yerleştirildiği kötü amaçlı yazılımların anahtar oluşturma işlemidir.
Bu mimari karar, bu koruyucu işlevler düzgün bir şekilde yürütülmedikçe, doğru şifre çözme anahtarının oluşturulamasını ve yükün statik analizini etkili bir şekilde önleyememesini sağlar.
Şifre çözme işlemi, String kod çözme işlevlerini içeren sofistike bir işlemle oluşturulan anahtarlarla AES256-ECB modu şifrelemesini kullanır.
Kötü amaçlı yazılım, iki farklı XOR tabanlı kod çözme mekanizması kullanır ve daha sonraki sürümler, tehdit aktörleri tarafından devam eden geliştirme ve iyileştirmeyi gösteren ek bir Decode02 fonksiyonu içerir.
Geleneksel Windows odaklı kötü amaçlı yazılımların platformlar arası genişlemesi, özellikle birçok Linux sunucusu kapsamlı uç nokta algılama ve yanıt sistemlerinden yoksundur ve potansiyel olarak saldırganlara uzatılmış bekleme süresi ve uzlaştırılmış ağlar içinde genişletilmiş yanal hareket fırsatları sunmaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.