Tin tặc khai thác CrossC2 tấn công đa nền tảng, kiểm soát hệ thống Linux và macOS

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
110
1.040 bài viết
Tin tặc khai thác CrossC2 tấn công đa nền tảng, kiểm soát hệ thống Linux và macOS
WhiteHat Team
JPCERT/CC - Trung tâm điều phối ứng cứu khẩn cấp máy tính Nhật Bản, vừa cảnh báo về chiến dịch tấn công mạng quy mô lớn nhắm vào nhiều quốc gia, sử dụng bộ công cụ điều khiển từ xa (C2 framework) mang tên CrossC2. Công cụ này đặc biệt nguy hiểm vì cho phép tin tặc mở rộng sức mạnh của Cobalt Strike sang các nền tảng khác như Linux và macOS.

1755240682429.png

Đây là mối đe dọa kỹ thuật cao do nhóm APT phát triển, có thể tác động đến hạ tầng trọng yếu Việt Nam. Công cụ mở rộng phạm vi tấn công đa nền tảng, mã khai thác đã công khai và đang được dùng trong chiến dịch thực tế. CrossC2 được cho là do nhóm APT liên quan đến Trung Quốc phát triển, thường được sử dụng để triển khai beacon của Cobalt Strike trên các hệ thống mục tiêu ngoài Windows.

Theo JPCERT/CC, hoạt động tấn công được phát hiện từ tháng 9 đến tháng 12/2024 thông qua phân tích các mẫu độc hại trên hệ thống VirusTotal. Tin tặc đã dùng CrossC2 cùng nhiều công cụ khác như PsExec, Plink và Cobalt Strike để tìm cách xâm nhập vào Active Directory (AD) - “Trung tâm quản lý tài khoản” của doanh nghiệp.

Đặc biệt, nhóm tấn công sử dụng một loại phần mềm độc hại tùy biến, được JPCERT/CC đặt tên là ReadNimeLoader, đóng vai trò “kẻ vận chuyển” (loader) đưa mã độc Cobalt Strike vào hệ thống mục tiêu.

Chiến dịch được thực hiện tinh vi, gồm nhiều bước:
  1. Tạo tác vụ định kỳ trên máy bị xâm nhập để kích hoạt tệp "java.exe" - một tệp hợp pháp trong hệ thống.
  2. Lợi dụng cơ chế DLL Sideloading để tải tệp độc hại "jli.dll" (ReadNimeLoader) thay vì DLL thật.
  3. ReadNimeLoader được viết bằng ngôn ngữ Nim, có khả năng:
    • Đọc nội dung từ một tệp văn bản, thực thi trực tiếp trong bộ nhớ (RAM) mà không lưu trên ổ cứng → tránh bị phần mềm quét virus phát hiện.
    • Tích hợp kỹ thuật chống phân tích (anti-debugging) để ngăn các nhà nghiên cứu an ninh “mổ xẻ” mã độc.
  4. Mã độc này tiếp tục tải OdinLdr - một bộ nạp shellcode mã nguồn mở, giải mã và chạy Cobalt Strike Beacon ngay trong bộ nhớ.
  5. Ngoài ra, phát hiện nhiều tệp SystemBC dạng ELF (dành cho Linux), vốn thường được dùng như bước chuẩn bị trước khi triển khai ransomware.
Chiến dịch này có nhiều điểm trùng khớp với hoạt động của các nhóm ransomware BlackSuit/Black Basta (từng được Rapid7 báo cáo vào tháng 6/2025). Các dấu hiệu trùng gồm:
  • Miền điều khiển (C2) giống nhau.
  • Tên tệp tương tự.
Các điều này cho thấy khả năng cao chiến dịch CrossC2 là một phần trong chuỗi tấn công có mục tiêu cuối cùng là mã hóa dữ liệu đòi tiền chuộc.

Phần lớn hệ thống Linux trong nội bộ doanh nghiệp (đặc biệt là máy chủ) không cài đặt EDR, khiến chúng trở thành “điểm yếu” để tin tặc xâm nhập. Khi bị kiểm soát, máy chủ này có thể trở thành bàn đạp để tấn công sâu hơn vào mạng nội bộ.

Các điểm chính nguy hiểm của chiến dịch này:
  • CrossC2 cho phép Cobalt Strike xâm nhập cả thiết bị di động và hệ thống Unix/Linux.
  • Mã nguồn và tài liệu kỹ thuật đã bị rò rỉ trên GitHub và các diễn đàn.
  • Nghiên cứu từ ASEC (AhnLab) cho thấy CrossC2 đang được tích hợp vào nhiều chiến dịch gián điệp mạng.
  • Công cụ này giúp APT vượt qua giới hạn hệ điều hành, tăng độ nguy hiểm của Cobalt Strike.
Nếu chiến dịch này thành công, hậu quả có thể gồm:
  • Tin tặc kiểm soát hoàn toàn hệ thống nội bộ doanh nghiệp.
  • Đánh cắp dữ liệu nhạy cảm (tài chính, khách hàng, bí mật công nghệ).
  • Phát tán ransomware trên diện rộng, gây gián đoạn hoạt động.
  • Ảnh hưởng dây chuyền tới đối tác và khách hàng.
Đây là mối đe dọa nghiêm trọng do nhóm APT sử dụng CrossC2 mở rộng Cobalt Strike sang đa nền tảng, có khả năng ảnh hưởng tới hạ tầng trọng yếu Việt Nam. Mã khai thác đã công khai và đang bị khai thác thực tế.

Các chuyên gia đưa ra khuyến cáo:
  • Cần củng cố bảo mật đa nền tảng: Triển khai EDR trên Linux và macOS; giám sát và cảnh báo cho mọi nền tảng về hành vi bất thường.
  • Rà soát quyền truy cập từ xa và kiểm soát script/binary, đặc biệt loader tùy chỉnh và shellcode; hạn chế quyền và xác thực chặt chẽ.
  • Đảm bảo quản trị AD an toàn: áp dụng Least Privilege và MFA cho quản trị; theo dõi các tác vụ lên lịch từ máy bị xâm nhập.
  • Đào tạo nhân viên về phishing và tăng nhận thức an toàn tài khoản; thực hiện kiểm tra xâm nhập định kỳ (red team/phantom) để đánh giá khả năng phát hiện.
Chiến dịch sử dụng CrossC2 là lời nhắc nhở rằng tin tặc ngày càng linh hoạt và tinh vi, không còn chỉ tập trung vào Windows. Doanh nghiệp cần chủ động phòng thủ đa nền tảng, cần coi bảo mật Linux và macOS quan trọng ngang Windows, nếu không muốn trở thành “đích ngắm” tiếp theo của kẻ xấu.
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Tin tặc dùng Brave Support và lỗ hổng MMC triển khai phần mềm độc hại đa nền tảng
  • Liên minh tin tặc ShinyHunters và Scattered Spider: Khi tội phạm mạng bắt tay để tấn công
  • Thế giới chao đảo vì mã độc PXA Stealer, nghi vấn liên quan đến tin tặc Việt Nam?
  • Tấn công phishing qua link wrapping: Đánh cắp thông tin tài khoản Microsoft 365
  • Bản tin mã độc: Lumma hồi sinh, botnet SVF đánh thẳng vào máy chủ Linux SSH
  • Chiêu thức “ClickFix” giúp tin tặc chiếm quyền kiểm soát máy tính chỉ bằng một cú dán lệnh
    • Thẻ
    crossc2 linux macos ransomware windows
    Bên trên