黑客利用CrossC2工具将Cobalt Strike攻击扩展至Linux与macOS平台

日本计算机应急响应小组（JPCERT/CC）周四披露，其监测到黑客利用名为CrossC2的命令控制（C2）框架实施攻击。该工具旨在将Cobalt Strike的功能扩展至Linux和苹果macOS等平台，实现跨系统控制。

攻击活动概况

根据对VirusTotal样本的分析，该机构表示在2024年9月至12月期间检测到针对日本等多个国家的攻击活动。JPCERT/CC研究员益渊雄马在报告中指出："攻击者使用CrossC2以及PsExec、Plink和Cobalt Strike等工具试图渗透活动目录（AD）。进一步调查发现，攻击者使用定制化恶意软件作为Cobalt Strike的加载器。"

技术实现细节

这款定制化的Cobalt Strike Beacon加载器被命名为ReadNimeLoader。CrossC2作为非官方Beacon构建工具，可在与配置中指定的远程服务器建立通信后，执行各类Cobalt Strike命令。

在JPCERT/CC记录的攻击中，攻击者通过在被入侵机器上创建计划任务，启动合法的java.exe程序，随后滥用该程序侧加载ReadNimeLoader（伪装为jli.dll）。这个采用Nim语言编写的加载器会提取文本文件内容并在内存中直接执行，从而避免在磁盘留下痕迹。被加载的内容实为开源shellcode加载器OdinLdr，最终会解码内嵌的Cobalt Strike Beacon并在内存中运行。

ReadNimeLoader还整合了多种反调试和反分析技术，确保只有在安全环境下才会解码OdinLdr。

攻击关联分析

JPCERT/CC表示，该攻击活动与Rapid7在2025年6月报告的BlackSuit/Black Basta勒索软件行动存在部分关联，主要体现在使用的C2域名和相似命名的文件上。另一个显著特征是存在多个SystemBC后门的ELF版本，该后门常作为部署Cobalt Strike和勒索软件的前导程序。

益渊雄马强调："虽然涉及Cobalt Strike的事件众多，但本文重点分析了攻击者使用CrossC2工具将Cobalt Strike Beacon功能扩展至多平台的特定案例，导致内网中的Linux服务器遭到入侵。许多Linux服务器未安装终端检测与响应（EDR）等防护系统，使其可能成为进一步入侵的跳板，需要引起更多重视。"