یک کمپین حمله سایبری تازه شناسایی شده، یک خانواده بدافزار جدید به نام SharkLoader را توزیع میکند که به عنوان لودر برای استقرار Cobalt Strike Beacon در میزبانهای آسیبدیده عمل میکند.
کسپرسکی، که فعالیت تحت نام StrikeShark را ردیابی میکند، اعلام کرد که این کمپین یک سازمان هایی در اندونزی، تایوان، هنگ کنگ، لبنان، سوریه، کلمبیا، مقدونیه شمالی، نپال و صربستان را هدف قرار داده است.
به گفته Kaspersky، آمار قربانیان مشاهده شده نشان میدهد که این کمپین دارای دامنه جغرافیایی وسیع و مجموعه اهداف متنوع است، نه تمرکز محدود بر یک صنعت یا منطقه خاص.
این کمپین هیچ ارتباط مستقیمی با عامل یا گروه تهدید شناختهشدهای نشان نمیدهد، اگرچه اپراتورها از چندین ابزار مخرب متنباز مانند FScan و Pillager که معمولاً توسط توسعهدهندگان چینی استفاده میشوند، استفاده کردهاند.
زنجیرههای حمله شامل چند مسیر دسترسی اولیه است:
بهرهبرداری از نقصهای شناختهشده Exchange Server، مانند CVE-2021-26855 (معروف به ProxyLogon)، یا از طریق یک آسیبپذیری پیمایش مسیر در Openfire (CVE-2023-32315)، و یا یک اشکال اجرای کد از راه دور حیاتی در GeoServer (CVE-2024-36401) .
سایر آسیبپذیریهای اجرای کد از راه دور و دور زدن احراز هویت که توسط عامل تهدید مورد استفاده قرار میگیرند، در زیر فهرست شدهاند:
o Apache Shiro: CVE-2016-4437
o Hikvision Products: CVE-2021-36260
o Microsoft SharePoint: CVE-2021-27076
o Zimbra Collaboration Suite: CVE-2022-27925
o Microsoft Exchange Server: CVE-2022-41082 (aka ProxyNotShell)
o F5 BIG-IP: CVE-2023-46747
o Fortinet FortiOS: CVE-2024-21762
o React Server Components: CVE-2025-55182
o Fortinet FortiOS: CVE-2022-40684
o Cisco IOS XE Web UI: CVE-2023-20198
ارزیابی شده است که عاملان تهدید احتمالاً از اکسپلویتهای PoC که به صورت عمومی در GitHub یا سایر پلتفرم های open source دسترس هستند، برای دستیابی اولیه به شیوهای فرصتطلبانه استفاده میکنند. پس از کسب جایگاه، عاملان تهدید با استقرار web shellها برای راهاندازی یک زنجیره بارگذاری جانبی DLL شامل “SystemSettings.exe” (CVE-2021-27076) برای SharkLoader (“SystemSettings.dll”) پایداری ایجاد میکنند.
روش دومی که StrikeShark برای توزیع لودر استفاده میکند، از طریق فایلهای اجرایی سفارشی dropper است که خود را به عنوان نصبکنندههای نرمافزار یا برنامههای قانونی مانند Google Update و Cisco AnyConnect جا میزنند و پس از اتمام فرآیند نصب، لودر بدافزار را اجرا میکنند. روشی که این dropperها از طریق آن تحویل داده میشوند، در حال حاضر ناشناخته است.
کسپرسکی توضیح میدهد: “علاوه بر جعل نصبکننده، چندین SharkLoader dropper از اسناد PDF جعلی برای ترغیب قربانیان به باز کردن فایل مخرب استفاده میکنند. با این حال، همه نمونهها از این تکنیک استفاده نمیکنند، زیرا برخی از dropperها صرفاً به عنوان یک مکانیسم تحویل برای SharkLoader عمل میکنند بدون اینکه هیچ محتوای مخرب یا جعلی ای ارائه دهند.”
کسپرسکی توضیح میدهد: «در نهایت، پس از نصب hookهای API و نوشتن شلکد Cobalt Strike Beacon در بافر رشته، بدافزار API ResumeThread را فراخوانی میکند تا رشته معلق را از سر بگیرد و اجرای Beacon را آغاز کند.»
در حالی که SharkLoader فاقد مکانیزمهای پایداری داخلی است، مشخص شده است که عامل تهدید از کلیدهای Registry Run و وظایف برنامهریزیشده به عنوان راهی برای فعال کردن راهاندازی «SystemSettings.exe» چه هنگام ورود کاربر و چه حتی اگر هیچ کاربری وارد سیستم نشده باشد، استفاده میکند.
این حملات همچنین شامل یک مرحله شناسایی گسترده پس از نفوذ اولیه و پایداری است که در آن عامل تهدید درگیر شمارش Active Directory، سرقت اعتبارنامه با هدف قرار دادن فرآیند LSASS و فایل پایگاه داده NTDS و استقرار اسکنرهای منبع باز و ابزارهای جمعآوری اطلاعات مانند FScan، Searchall و Pillager میشود.
با توجه به عدم وجود عملیات استخراج فعال دادهها، مشخص نیست که اهداف نهایی StrikeShark چیست. با این حال، هدف قرار دادن سازمانهای دولتی و توسعه نرمافزار، نشاندهندهی یک جاسوسی سایبری با هدف بالقوهی جمعآوری اطلاعات یا مالکیت معنوی است.
به گفته Kaspersky، در عین حال، استفاده از SharkLoader و Cobalt Strike، در کنار سوءاستفاده از برنامههای کاربردی عمومی و نصبکنندهها و دراپرهای مخرب، نشان میدهد که مهاجم ممکن است به صورت فرصتطلبانه سیستمهای آسیبپذیر را نیز هدف قرار دهد. عدم وجود شواهد روشن از استخراج دادهها تاکنون، این احتمال را رد نمیکند، زیرا ماژولهای عملیات فایل و استخراج دادههای Cobalt Strike میتوانند در مراحل بعدی مورد استفاده قرار گیرند.
منبع: