كشفت الهيئة اليابانية لتنسيق الاستجابة للحوادث الأمنية (JPCERT/CC) يوم الخميس عن رصد حوادث سيبرانية اعتمدت على إطار التحكم والسيطرة (C2) المعروف باسم CrossC2، والمصمم لتمديد وظائف أداة Cobalt Strike إلى منصات أخرى مثل Linux وmacOS، بما يسمح بتنفيذ هجمات عبر أنظمة متعددة في آن واحد.
تفاصيل الهجمات وأدوات الاختراق
وفقًا لتحليل عينات جُمعت عبر منصة VirusTotal، فقد تم رصد النشاط الخبيث بين سبتمبر وديسمبر 2024 واستهدف عدة دول من بينها اليابان. وأوضحت التقارير أن المهاجمين استخدموا مزيجًا من الأدوات مثل CrossC2 وPsExec وPlink وCobalt Strike لاختراق أنظمة Active Directory. كما كشفت التحقيقات عن تطوير برمجية خبيثة مخصصة تعمل كـ “لودر” (Loader) لتحميل Cobalt Strike، وحملت هذه البرمجية اسم ReadNimeLoader.
آلية عمل ReadNimeLoader
تم تصميم ReadNimeLoader بلغة البرمجة Nim، حيث يقوم بتحميل محتوى ملف نصي وتشغيله مباشرة في الذاكرة لتفادي ترك أي أثر على القرص. ويستخدم في هذه العملية أداة مفتوحة المصدر تدعى OdinLdr، التي تعمل على فك شيفرة Beacon الخاص بـ Cobalt Strike وتشغيله في الذاكرة.
كما زُوِّد ReadNimeLoader بآليات مضادة للتصحيح والتحليل لمنع تنفيذ OdinLdr ما لم يكن المسار خاليًا من أنشطة الفحص الأمني. ويستغل المهاجمون جدولة المهام على الأجهزة المصابة لتشغيل ملف java.exe الشرعي، الذي يُستخدم لاحقًا في تحميل مكتبة خبيثة تدعى jli.dll.
ارتباط بالحملات المرتبطة بالفدية
أشارت JPCERT/CC إلى وجود تقاطعات بين هذه الحملة ونشاطات برمجيات الفدية مثل BlackSuit/Black Basta التي رصدتها شركة Rapid7 في يونيو 2025، حيث لوحظ استخدام نطاقات C2 مشابهة وملفات تحمل أسماء قريبة. كما تم العثور على عدة نسخ ELF من برمجية SystemBC الخلفية، والتي غالبًا ما تُستخدم كبوابة أولية قبل نشر Cobalt Strike وبرمجيات الفدية.
تهديدات خاصة بخوادم Linux
أوضحت JPCERT/CC أن الحملة ركزت على استغلال CrossC2 لاختراق خوادم Linux ضمن الشبكات الداخلية، وهو ما يجعلها أكثر عرضة للخطر نظرًا لأن الكثير من هذه الخوادم لا تحتوي على أنظمة EDR أو حلول مراقبة أمنية متقدمة، ما يحولها إلى نقاط دخول رئيسية يمكن استغلالها لمزيد من الهجمات.
