新型 SharkLoader 恶意软件在 StrikeShark 网络攻击中部署 Cobalt Strike

新发现的网络攻击活动正在分发一种此前未记录的恶意软件家族 SharkLoader，它作为加载器，在被攻陷的主机上部署 Cobalt Strike Beacon。

卡巴斯基将该活动命名为 StrikeShark，并表示该活动针对了印度尼西亚的外交机构、多个国家的软件开发公司，以及位于黎巴嫩、叙利亚、哥伦比亚、北马其顿、尼泊尔和塞尔维亚的其他行业实体。

这家俄罗斯网络安全供应商表示：“观察到的受害者情况表明，这是一次具有广泛地理覆盖范围和多样化目标群体的活动，而非专注于特定行业或地区。”

该活动并未显示出与任何已知威胁行为者或组织的直接联系，尽管操作者使用了几种开源的后渗透工具，如 FScan 和 Pillager，这些工具通常由讲中文的开发人员使用。据信，该活动是讲中文的威胁行为者所为。

攻击链涉及两条初始访问路径：利用已知的 Exchange Server 漏洞（如 CVE-2021-26855，即 ProxyLogon）攻击印度尼西亚外交实体；或者通过影响 Openfire 的路径遍历漏洞（CVE-2023-32315）攻击台湾软件开发组织；亦或是利用 GeoServer 中的关键远程代码执行漏洞（CVE-2024-36401）攻击哥伦比亚组织。

威胁行为者武器化的其他远程代码执行和身份验证绕过漏洞包括：

• Apache Shiro: CVE-2016-4437
• Hikvision Products: CVE-2021-36260
• Microsoft SharePoint: CVE-2021-27076
• Zimbra Collaboration Suite: CVE-2022-27925
• Microsoft Exchange Server: CVE-2022-41082 (即 ProxyNotShell)
• F5 BIG-IP: CVE-2023-46747
• Fortinet FortiOS: CVE-2024-21762
• React Server Components: CVE-2025-55182
• Fortinet FortiOS: CVE-2022-40684
• Cisco IOS XE Web UI: CVE-2023-20198

据评估，威胁行为者可能利用托管在 GitHub 或其他开源平台上的公开概念验证（PoC）漏洞，以机会主义方式获得初始访问权限。立足后，威胁行为者通过部署 Web Shell 来建立持久性，触发涉及“SystemSettings.exe”（CVE-2021-27076）的 DLL 侧加载链，以交付 SharkLoader（“SystemSettings.dll”）。

StrikeShark 分发加载器的第二种方法是通过伪装成合法软件安装程序或应用程序（如 Google Update 和 Cisco AnyConnect）的自定义 Dropper 可执行文件，并在安装过程完成后执行恶意软件加载器。目前尚不清楚这些 Dropper 的交付方式。

卡巴斯基解释道：“除了以安装程序为主题的诱饵外，部分 SharkLoader droppers 还使用 decoy PDF 文档来说服受害者打开恶意文件。然而，并非所有样本都采用这种技术，有些 Dropper 仅作为 SharkLoader 的交付机制，不呈现任何诱饵内容。”

一旦加载 DLL，SharkLoader 就会实施所谓的“Perfect DLL Hijacking”，这是安全研究员 Elliot Killick 于 2023 年 10 月详细描述的一种技术，旨在执行恶意代码并绕过 Windows Loader Lock（操作系统在加载和卸载 DLL 时持有的系统级锁）。

具体而言，它被设计为解密并加载“DscCoreR.mui”，然后用于解压并在以挂起状态创建的新线程中加载 Cobalt Strike，以及另外两个组件：

• SyncRes.dat：使用 Microsoft Detours 库安装多个 Windows API 钩子，以监控运行时生成的异常。
• MinHook DLL：为 VirtualAlloc 和 Sleep 函数安装 API 钩子，以使用 VirtualAlloc 将解压后的 Cobalt Strike Beacon 复制到分配的内存区域。当 Beacon 调用 Sleep 时，会触发与 Sleep 相关的钩子，这可能是为了规避识别内存中可执行（RWX）代码区域的内存扫描技术。

卡巴斯基解释道：“最后，在安装 API 钩子并将 Cobalt Strike Beacon shellcode 写入线程缓冲区后，恶意软件调用 ResumeThread API 恢复挂起的线程并开始执行 Beacon。”

虽然 SharkLoader 本身没有内置持久化机制，但发现威胁行为者利用注册表 Run 键和计划任务，以便在用户登录时，甚至在无用户登录时激活“SystemSettings.exe”的启动。

攻击还包括在初始入侵和持久化之后进行广泛的侦察阶段，威胁行为者进行 Active Directory 枚举，通过定位 LSASS 进程和 NTDS 数据库文件窃取凭证，并部署开源扫描器和信息收集工具，如 FScan、Searchall 和 Pillager。

鉴于没有活跃的数据外泄活动，目前尚不清楚 StrikeShark 的最终目标是什么。然而，针对政府和软件开发组织的攻击表明其具有网络间谍倾向，可能对收集政治情报或知识产权感兴趣。

卡巴斯基表示：“与此同时，使用 SharkLoader 和 Cobalt Strike，以及利用面向公众的应用程序和恶意安装程序及 Dropper，表明攻击者也可能在机会主义地针对脆弱系统。迄今为止缺乏数据外泄的明确证据并不排除这种可能性，因为 Cobalt Strike 的文件操作和数据外泄模块可能在后期阶段被使用。”