พบเครื่องมือแฮกเกอร์ตัวใหม่ "CrossC2" ขยายขอบเขตการโจมตีของ Cobalt Strike สู่ Linux และ macOS
โตเกียว, ญี่ปุ่น – ศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์แห่งประเทศญี่ปุ่น (JPCERT/CC) ได้ออกมาเปิดเผยรายงานล่าสุดเมื่อวันพฤหัสบดีที่ผ่านมาว่า ตรวจพบการโจมตีทางไซเบอร์ที่ใช้เฟรมเวิร์กสำหรับสั่งการและควบคุม (Command-and-Control หรือ C2) ที่มีชื่อว่า CrossC2 ซึ่งเป็นเครื่องมือที่ถูกออกแบบมาเพื่อขยายขีดความสามารถของเครื่องมือเจาะระบบยอดนิยมอย่าง Cobalt Strike ให้สามารถทำงานและควบคุมระบบปฏิบัติการอื่น ๆ นอกเหนือจาก Windows ได้ เช่น Linux และ macOS
ทางหน่วยงานระบุว่า ตรวจพบกิจกรรมการโจมตีดังกล่าวในช่วงระหว่างเดือนกันยายนถึงธันวาคม ปี 2024 โดยมีเป้าหมายไปยังหลายประเทศ รวมถึงประเทศญี่ปุ่น จากการวิเคราะห์ข้อมูลบนแพลตฟอร์ม VirusTotal
นายยูมะ มาซูบูชิ (Yuma Masubuchi) นักวิจัยจาก JPCERT/CC กล่าวในรายงานว่า "ผู้โจมตีได้ใช้ CrossC2 ร่วมกับเครื่องมืออื่น ๆ เช่น PsExec, Plink และ Cobalt Strike เพื่อพยายามเจาะเข้าระบบ Active Directory (AD) จากการสืบสวนเพิ่มเติมยังพบว่า ผู้โจมตีได้ใช้มัลแวร์ที่สร้างขึ้นเองเพื่อเป็นตัวโหลด (Loader) สำหรับ Cobalt Strike โดยเฉพาะ"
ขั้นตอนการโจมตีสุดซับซ้อน
มัลแวร์ที่สร้างขึ้นเพื่อโหลด Cobalt Strike Beacon นี้ได้รับการตั้งชื่อว่า ReadNimeLoader โดย CrossC2 ซึ่งเป็นเครื่องมือเสริมที่ไม่เป็นทางการ สามารถรันคำสั่งต่าง ๆ ของ Cobalt Strike ได้หลังจากที่สร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุมที่ระบุไว้ได้สำเร็จ
ในการโจมตีที่ JPCERT/CC ตรวจพบนั้น แฮกเกอร์จะเริ่มจากการตั้งค่า Scheduled Task บนเครื่องที่ถูกบุกรุก เพื่อสั่งรันโปรแกรม java.exe ที่เป็นโปรแกรมปกติของระบบ จากนั้นจะใช้เทคนิคที่เรียกว่า DLL Sideloading เพื่อหลอกให้ java.exe โหลดไฟล์ jli.dll ที่เป็นอันตราย (ซึ่งก็คือ ReadNimeLoader) เข้ามาทำงาน
ReadNimeLoader ซึ่งถูกเขียนขึ้นด้วยภาษาโปรแกรมมิง Nim จะทำการดึงเนื้อหาจากไฟล์ข้อความ (text file) แล้วนำไปรันบนหน่วยความจำ (RAM) โดยตรง ซึ่งเป็นเทคนิคที่ช่วยหลีกเลี่ยงการทิ้งร่องรอยไว้บนดิสก์ เนื้อหาที่ถูกโหลดขึ้นมานี้คือ OdinLdr ซึ่งเป็น Shellcode Loader แบบโอเพนซอร์ส ที่จะทำหน้าที่ถอดรหัสและรันเพย์โหลดตัวสุดท้าย ซึ่งก็คือ Cobalt Strike Beacon บนหน่วยความจำเช่นกัน
นอกจากนี้ ReadNimeLoader ยังมีเทคนิคในการต่อต้านการดีบักและวิเคราะห์โค้ด (Anti-debugging/Anti-analysis) เพื่อป้องกันไม่ให้ OdinLdr ถูกถอดรหัสได้หากตรวจพบว่ากำลังถูกตรวจสอบอยู่
ความเชื่อมโยงกับแรนซัมแวร์ BlackSuit/Black Basta
JPCERT/CC กล่าวว่า แคมเปญการโจมตีนี้มีความเชื่อมโยงบางส่วนกับกิจกรรมของแรนซัมแวร์ BlackSuit/Black Basta ที่เคยมีรายงานโดยบริษัท Rapid7 เมื่อเดือนมิถุนายน ปี 2025 โดยพบว่ามีการใช้โดเมน C2 และชื่อไฟล์ที่คล้ายคลึงกัน
อีกประเด็นที่น่าสนใจคือ การปรากฏตัวของ SystemBC ในเวอร์ชันสำหรับระบบ ELF (Executable and Linkable Format) ซึ่งเป็นมัลแวร์ประเภท Backdoor ที่มักจะถูกใช้เป็นเครื่องมือตั้งต้นก่อนที่จะมีการปล่อย Cobalt Strike หรือแรนซัมแวร์ตามมา
"แม้ว่าจะมีเหตุการณ์ที่เกี่ยวข้องกับ Cobalt Strike เกิดขึ้นมากมาย แต่บทความนี้มุ่งเน้นไปที่กรณีพิเศษที่มีการใช้ CrossC2 ซึ่งเป็นเครื่องมือที่ขยายขีดความสามารถของ Cobalt Strike Beacon ไปยังแพลตฟอร์มอื่น ๆ ทำให้สามารถเจาะระบบเซิร์ฟเวอร์ Linux ที่อยู่ภายในเครือข่ายขององค์กรได้" นายมาซูบูชิกล่าวสรุป
"เซิร์ฟเวอร์ Linux จำนวนมากไม่ได้ติดตั้งระบบ EDR (Endpoint Detection and Response) หรือระบบป้องกันที่คล้ายกัน ทำให้พวกมันกลายเป็นจุดอ่อนและอาจเป็นประตูให้ผู้โจมตีบุกรุกเข้ามาในระบบได้ลึกขึ้น ดังนั้น นี่จึงเป็นเรื่องที่ต้องให้ความสนใจและเฝ้าระวังมากเป็นพิเศษ"
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก