Una nuova campagna di cyber attacchi denominata StrikeShark sta attirando attenzione nel panorama della sicurezza informatica per l’uso di un malware finora poco documentato chiamato SharkLoader. Questo componente agisce come loader e ha l’obiettivo di distribuire Cobalt Strike Beacon sui sistemi compromessi, una delle piattaforme più usate per il post-compromise e per il controllo remoto nelle operazioni di intrusione.
I bersagli osservati risultano molto eterogenei e distribuiti a livello globale. Tra questi figurano una organizzazione diplomatica in Indonesia, enti governativi a Taiwan, aziende di sviluppo software in più paesi e organizzazioni in settori diversi presenti in aree come Hong Kong, Libano, Siria, Colombia, Macedonia del Nord, Nepal e Serbia. La varietà delle vittime suggerisce un approccio opportunistico basato sulla ricerca di sistemi esposti e vulnerabili, più che una focalizzazione su un singolo settore.
La catena di infezione inizia spesso con lo sfruttamento di vulnerabilità note su applicazioni esposte su Internet. Sono stati rilevati exploit contro Exchange Server come ProxyLogon e ProxyNotShell, una path traversal su Openfire e una vulnerabilità critica di remote code execution su GeoServer. Inoltre la campagna risulta compatibile con un modello di attacco che riutilizza proof of concept pubblici reperibili su repository e piattaforme open source, accelerando la fase di accesso iniziale.
Dopo il primo accesso, gli attaccanti possono distribuire web shell e impostare persistenza. Un passaggio chiave è una catena di DLL side loading che coinvolge SystemSettings.exe per caricare una DLL malevola associata a SharkLoader. In altri casi il loader viene consegnato tramite dropper personalizzati camuffati da installer legittimi, ad esempio falsi aggiornamenti o applicazioni note, con varianti che includono anche documenti PDF esca per aumentare la probabilità di esecuzione.
Sul piano tecnico SharkLoader impiega una tecnica nota come Perfect DLL Hijacking per eseguire codice malevolo evitando vincoli del processo di caricamento delle DLL in Windows. Una volta attivo, decifra e carica un file usato per decomprimere e iniettare Cobalt Strike in un thread creato in stato sospeso, quindi installa hook su API di Windows con librerie come Detours e MinHook. Questi hook possono aiutare a monitorare eccezioni, gestire l’allocazione di memoria con VirtualAlloc e sfruttare chiamate come Sleep per ridurre le possibilità di rilevamento tramite memory scanning.
Dopo la persistenza segue una fase intensa di ricognizione con enumerazione di Active Directory, furto credenziali tramite LSASS e accesso al database NTDS, oltre all’uso di strumenti di scansione e raccolta informazioni come FScan e altri tool open source. Anche se non sempre emerge subito una esfiltrazione dati, la combinazione di SharkLoader e Cobalt Strike lascia aperta la possibilità di cyber spionaggio e furto di proprietà intellettuale in fasi successive.