StrikeShark

Editors' Pick

Kaspersky GReAT kutatói egy új, StrikeShark néven azonosított célzott támadási kampányt mutatnak be, amelynek központi eleme egy korábban nem dokumentált SharkLoader betöltőprogram. A malware elsődleges feladata a Cobalt Strike Beacon memóriában történő telepítése, miközben számos fejlett védelmi megkerülési technikát alkalmaz. A támadók internet felől elérhető Microsoft Exchange, Microsoft SharePoint és Openfire szerverek ismert sérülékenységeit használják ki, de megfigyeltek legitim alkalmazásoknak álcázott telepítőcsomagokat is. 

A fertőzés során DLL side-loading technikát alkalmaznak, egy legitim SystemSettings.exe folyamat tölti be a rosszindulatú SystemSettings.dll állományt, amely egy titkosított modulból kibontja és közvetlenül a memóriában indítja el a Cobalt Strike Beacont. A malware API-hookolással, Vectored Exception Handler alkalmazásával, valamint a VirtualAlloc és Sleep függvények módosításával igyekszik elrejteni a Beacon memóriaterületeit a memóriaalapú detektálás elől. Emellett PPID spoofingot használ, amelynek során az általa indított folyamatok legitim svchost.exe szülőfolyamat alatt jelennek meg, megnehezítve az incidenskezelők munkáját. A kompromittált rendszereken a támadók a perzisztenciát jellemzően manuálisan alakítják ki Registry Run kulcsok vagy ütemezett feladatok segítségével, ezt követően hálózatfelderítést, oldalirányú mozgást és további Cobalt Strike műveleteket hajtanak végre. 

A kampány áldozatai között kormányzati szervek, diplomáciai intézmények és vállalatok is szerepelnek Hongkongban, Indonéziában és más régiókban. A Kaspersky egyelőre nem tulajdonítja a műveletet ismert APT-csoportnak, ugyanakkor a célpontok és az alkalmazott technikák alapján fejlett, hosszú távú kiberkémkedési kampányra utaló jeleket azonosított. A jelentés részletes technikai elemzést, IOC-kat és YARA-szabályokat is tartalmaz.

FORRÁS