Er is een nieuw ontdekte cyberaanvalcampagne waargenomen die een voorheen ongedocumenteerde malwarefamilie opleverde, genaamd SharkLoader dat fungeert als een lader voor het inzetten van Cobalt Strike Beacon op gecompromitteerde hosts.
Kaspersky, die de activiteit onder de naam volgt Strike Haaizei dat de campagne zich heeft gericht op een diplomatieke organisatie in Indonesië, overheidsorganisaties in Taiwan, softwareontwikkelingsbedrijven in meerdere landen en entiteiten die verband houden met andere sectoren in Hong Kong, Libanon, Syrië, Colombia, Noord-Macedonië, Nepal en Servië.
“De waargenomen slachtofferschap suggereert een campagne met een breed geografisch bereik en een divers doel, in plaats van een beperkte focus op een specifieke sector of regio”, aldus de Russische cyberbeveiligingsleverancier.
De campagne vertoont geen directe links naar bekende dreigingsactoren of -groepen, hoewel de operators verschillende open-source post-compromistools hebben gebruikt, zoals FScan en Pillager, die vaak worden gebruikt door Chineessprekende ontwikkelaars. Er wordt aangenomen dat de campagne het handwerk is van een Chineessprekende dreigingsacteur.
Aanvalsketens omvatten de twee initiële toegangspaden: het exploiteren van bekende Exchange Server-fouten, zoals CVE-2021-26855 (ook bekend als ProxyLogon), om de Indonesische diplomatieke entiteit aan te vallen, of via een kwetsbaarheid voor padtraversal die gevolgen heeft voor Openfire (CVE-2023-32315) in het geval van Taiwanese softwareontwikkelingsorganisaties, of een kritieke bug voor het uitvoeren van externe code in GeoServer (CVE-2024-36401) om zich te richten op een Colombiaanse organisatie.
Andere uitvoering van code op afstand en authenticatie omzeilen kwetsbaarheden die door de dreigingsactor zijn bewapend, worden hieronder vermeld:
Er wordt aangenomen dat de bedreigingsactoren waarschijnlijk gebruik maken van openbaar beschikbare proof-of-concept (PoC) exploits die worden gehost op GitHub of andere open-sourceplatforms om op een opportunistische manier initiële toegang te verkrijgen. Nadat ze voet aan de grond hebben gekregen, vestigen de bedreigingsactoren volharding door webshells in te zetten om een DLL-zijlaadketen te activeren waarbij “SystemSettings.exe” (CVE-2021-27076) betrokken is om SharkLoader (“SystemSettings.dll”) te leveren.
Een tweede methode die StrikeShark gebruikt om de lader te distribueren is via aangepaste uitvoerbare dropperbestanden die zich voordoen als legitieme software-installatieprogramma’s of applicaties zoals Google Update en Cisco AnyConnect, en het uitvoeren van de malware-lader zodra het installatieproces is voltooid. De methode waarmee deze druppelaars worden afgeleverd, is momenteel onbekend.
“Naast de lokmiddelen met een installer-thema, gebruiken verschillende SharkLoader-droppers lok-PDF-documenten om slachtoffers over te halen het kwaadaardige bestand te openen”, legt Kaspersky uit. “Niet alle monsters maken echter gebruik van deze techniek, omdat sommige droppers uitsluitend dienen als een aflevermechanisme voor SharkLoader zonder enige kunstaasinhoud te presenteren.”
Zodra de DLL is geladen, implementeert SharkLoader wat Perfect DLL Hijacking wordt genoemd, een techniek die in oktober 2023 werd beschreven door beveiligingsonderzoeker Elliot Killick, om kwaadaardige code uit te voeren terwijl Windows Loader Lock wordt omzeild, een systeembrede vergrendeling die door het besturingssysteem wordt vastgehouden bij het laden en verwijderen van DLL’s.
Het is specifiek ontworpen om “DscCoreR.mui” te decoderen en te laden, wat vervolgens wordt gebruikt om Cobalt Strike te decomprimeren en te laden in een nieuwe thread die in een onderbroken toestand is gemaakt, samen met twee andere componenten –
- SyncRes.dat, dat meerdere Windows API-hooks installeert met behulp van de Microsoft Detours-bibliotheek om uitzonderingen te monitoren die tijdens runtime worden gegenereerd.
- MinHook DLL, die API-hooks installeert voor de VirtualAlloc- en Sleep-functies om het gedecomprimeerde Cobalt Strike Beacon naar de toegewezen geheugenregio te kopiëren met behulp van VirtualAlloc. De Sleep-gerelateerde hook wordt geactiveerd wanneer de Beacon Sleep oproept, waarschijnlijk in een poging om geheugenscantechnieken te omzeilen die uitvoerbare (RWX) codegebieden in het geheugen identificeren.
“Eindelijk, nadat de API-hooks zijn geïnstalleerd en de Cobalt Strike Beacon-shellcode naar de threadbuffer is geschreven, roept de malware de ResumeThread API aan om de opgeschorte thread te hervatten en te beginnen met de uitvoering van het beacon”, legt Kaspersky uit.
Hoewel SharkLoader niet is voorzien van ingebouwde persistentiemechanismen, is gebleken dat de bedreigingsactor Registry Run-sleutels en geplande taken gebruikt als een manier om de lancering van “SystemSettings.exe” te activeren, hetzij wanneer een gebruiker inlogt, of zelfs als er geen gebruiker is ingelogd.
De aanvallen omvatten ook een uitgebreide verkenningsfase na aanvankelijke compromittering en volharding, waarbij de bedreigingsacteur zich bezighoudt met Active Directory-opsomming, diefstal van inloggegevens door zich te richten op het LSASS-proces en het NTDS-databasebestand, en het inzetten van open-source scanners en tools voor het verzamelen van informatie zoals FScan, Searchall en Pillager.
Gezien de afwezigheid van actieve data-exfiltratie is het onduidelijk wat de einddoelen van StrikeShark zijn. Het doelwit van de overheid en softwareontwikkelingsorganisaties duidt echter op cyberspionage met een potentiële interesse in het opzuigen van politieke inlichtingen of intellectueel eigendom.
“Tegelijkertijd suggereert het gebruik van SharkLoader en Cobalt Strike, naast de exploitatie van openbare applicaties en kwaadaardige installers en droppers, dat de aanvaller zich mogelijk ook op opportunistische wijze richt op kwetsbare systemen”, aldus Kaspersky. “Het ontbreken van duidelijk bewijs van data-exfiltratie tot nu toe sluit deze mogelijkheid niet uit, aangezien de bestandsbewerkings- en data-exfiltratiemodules van Cobalt Strike in een later stadium zouden kunnen worden ingezet.”
