Tehdit oyuncusu Crossc2’den yararlanıyor ve Linux ve macOS’a kobalt grevini genişletmek için

JPCERT/CC, tehdit aktörlerinin Linux ve macOS ile çalışan kobalt grev işaretleri oluşturan gayri resmi bir uzatma aracı olan CrossC2 kullanılarak görüldüğü bir dizi olayı doğruladı.

Active Directory (AD) altyapılarını hedefleyen bu kampanya, Lateral hareket için Psexec, SSH tünelleme için plink ve doğal kobalt grev yükleri gibi yerleşik araçların yanı sıra CrossC2’nin kullanımını içeriyordu.

Daha fazla analiz, NIM’de yazılmış ve DLL sideloading yoluyla kobalt grevinin bellek içi yürütülmesini kolaylaştıran özel bir yükleyicinin entegrasyonunu ortaya çıkardı.

Virustotal sunumlardan elde edilen kanıtlar, bu operasyonun Japonya’nın ötesine uzandığını ve birden fazla ülkedeki organizasyonları etkilediğini göstermektedir.

Saldırganlar, Linux sunucularını potansiyel giriş noktaları olarak sömürdü, bu tür ortamlarda uç nokta tespit ve yanıt (EDR) sistemlerinin sık sık yokluğundan yararlandı, böylece daha derin ağ penetrasyonunu ve kalıcılığını sağladı.

Saldırı kampanyasına genel bakış

C’de geliştirilen ve Cobalt Strike sürüm 4.1 ve daha sonraki ile uyumlu olan CrossC2, Linux ve macOS’ta X86, X64 ve M1 mimarilerini destekler.

Yürütme üzerine, bir alt işlemi temel işlemleri ele almaya, CCHOST ve CCPORT gibi gömülü yapılandırmalardan veya ortam değişkenlerinden C2 ayrıntılarını almaya çalıştırır.

Kobalt grev komutlarının bir alt kümesini yürütürken, CrossC2, NOP talimatları ile spesifik bayt dizileri yamalayarak nötralize edilebilen tek bayt xor dize kodlama ve kapsamlı önemsiz kod ekleme dahil olmak üzere anti-analiz önlemlerini içerir.

Yapılandırma ikili olarak eklenir, AES-128-CBC (dolgu yok) ile şifrelenir ve ReadLink ve Fread işlevlerini kullanarak “kanca” etiketi için tarayarak bulunur.

Özellikle, CrossC2 işaretleri varsayılan olarak UPX paketlenir ve yeniden düzenlemeden önce başarılı paketleme için yapılandırmanın kaldırılması gerektirir.

Kobalt grev dağıtım zinciri, C: $ recycle.bin \ dizininden jli.dll olarak gizlenmiş olan okuma alan yüklerinin görevlendirici aracılığıyla çağrılan meşru bir java.exe ile başlar.

ReadNimeloader, gömülü kobalt grev işaretini bellekte çözen ve yürüten açık kaynaklı bir kabuk kodu yükleyici olan Odinldr içeren bir ReadMe.txt dosyasını şifreledi.

ReadNimeloader, PEB’in Bebugged bayrağını, Context_DeBug_Registers’ı kontrol etme, 0x512’yi aşan zamanlama farklılığını ve istisna işleyici doğrulaması gibi gelişmiş anti-kötüleme teknikleri kullanır.

Şifreleme anahtarları, bu rutinlerden dinamik olarak üretilir, xor kodlu dizelerle birleştirilir ve yük ekstraksiyonu için AES-256-EC ile işlenir.

Odinldr ayrıca, işaretin rastgele xor anahtarlarıyla periyodik olarak yeniden şekillendirilmesini ve “Odinldr1337” ile ön eklenmiş yığın belleğinde saklayarak tespitten kaçınır. Varyasyonlar, ReadNimeloader’ın Odinldr olmadan doğrudan işaretini yürüttüğü yerlerde mevcuttur.

Analiz desteği

Saldırganlar, proxy iletişim için SystemBC’nin ELF varyantları, AS-REP kavurma saldırıları için GetnPusers ve Windows ayrıcalık artış yardımcı programları ile cephaneliğini desteklediler.

Atıf, Paylaşılan C2 etki alanları, JLI.DLL ve ReadMe.txt gibi dosya adlandırma kuralları ve önceki Rapid 7 raporlarında belirtildiği gibi SystemBC ve AS-REP kullanımı dahil taktik örtüşmelerle kanıtlanan Blackbasta Fidye Yazılım Grubu ile potansiyel bir bağlantıya işaret eder.

Araştırmalara yardımcı olmak için JPCERT/CC, Linux ve MacOS ikili dosyalarından CrossC2 ayrıntılarını çıkarmak için GitHub’da Python tabanlı bir yapılandırma ayrıştırıcısı yayınladı.

Bu araç, şifrelenmiş yapılandırmaları çözer, C2 sunucularını, genel anahtarları ve diğer eserleri ortaya çıkarır. Linux sunucuları kurumsal savunmalarda giderek kör noktalar haline geldikçe, bu tür çok platform tehditlerini azaltmak için artan izleme ve EDR dağıtım önerilir.

Uzlaşma Göstergeleri (IOCS)

AWS Security Services: 10-Point Executive Checklist - Download for Free