StrikeShark攻击活动利用新型SharkLoader恶意软件部署CobaltStrikeBeacon

admin 2026-07-01 05:50:47 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Strikeshark攻击活动利用新型sharkloader恶意软件,通过利用MicrosoftExchange、Openfire等公开漏洞及伪装合法软件进行部署,最终在内存中加载CobaltStrike信标,目标涉及多国政府与软件公司。建议优先修补面向互联网的服务、监控异常计划任务及启用LSASS保护。 综合评分: 85 文章分类: 恶意软件,漏洞分析,威胁情报,应急响应,红队


cover_image

StrikeShark 攻击活动利用新型 SharkLoader 恶意软件部署 Cobalt Strike Beacon

原创

ZM ZM

暗镜

2026年6月29日 06:07 北京

在小说阅读器读本章

去阅读

在最近一次对影响印度尼西亚某外交使团的活动进行调查时,研究人员发现了一个此前未被记录的装载机家族,并将其命名为 SharkLoader。

最初只是一起孤立事件,但迅速演变成一场名为“StrikeShark”的多国攻击行动,其中 SharkLoader 始终作为初始加载程序,最终在受感染的主机上部署 Cobalt Strike Beacon。

观察到的感染途径包括利用面向互联网的服务(Microsoft Exchange、SharePoint、Openfire、GeoServer 等)以及伪装成合法安装程序的恶意软件投放器,这表明攻击者将机会性扫描与有针对性的入侵相结合。

SharkLoader 的传播方式多种多样。在一些案例中,攻击者利用了已知的面向公众的漏洞,例如针对 Exchange 的 CVE-2021-26855 (ProxyLogon) 漏洞、针对 Openfire 的 CVE-2023-32315 漏洞以及 GeoServer 漏洞 (CVE-2024-36401)。

调查人员以中等置信度评估认为,攻击者严重依赖公开可用的概念验证漏洞利用程序,并辅以与该攻击活动相关的基础设施进行的全网扫描。

当攻击成功后,攻击者通常会安装 Web Shell,并滥用合法的 Windows 二进制文件进行 DLL 侧加载。一种常见的攻击方式是:将 SystemSettings.exe 复制到 ProgramData 或 AppData 目录,然后加载一个实现了 SharkLoader 逻辑的恶意 SystemSettings.dll 文件。该攻击活动还利用了企业设备和应用程序(Apache Shiro、F5 BIG-IP、Fortinet FortiOS、Zimbra、Microsoft SharePoint 等)中广泛的远程代码执行 (RCE) 和身份验证绕过漏洞。

攻击者利用合法的 Cisco AnyConnect VPN 安装程序作为诱饵。定制的投放器提取了嵌入在其资源部分中的 zlib 压缩数据,并将其解压缩成 MSI 包。

其他侧加载目标(msedge.dll、PrintDialog.dll、miracastview.dll)和诱饵文件名也体现了其适应性。在投放器场景中,攻击者会将压缩的 MSI 或 PDF 诱饵文件嵌入资源中,启动合法的安装程序来掩盖其执行过程,并在触发侧加载之前悄悄地将 SharkLoader 组件放置到 %APPDATA% 目录中。

该恶意软件为信标创建一个挂起的线程,将解压缩的信标 shellcode 写入缓冲区,然后恢复该线程,从而产生一个内存中的Cobalt Strike 信标,其持久性通常由计划任务或注册表运行键提供。

受害者涵盖台湾、印度尼西亚、香港、黎巴嫩、叙利亚、哥伦比亚、北马其顿、尼泊尔、塞尔维亚等地的政府机构、外交使团和多家软件公司,这表明这是一场地域范围广泛、目标混合的行动,将机会主义的漏洞利用与潜在的间谍目标相结合。

入侵后的活动主要集中在侦察和凭证窃取(LSASS 和 NTDS 转储)、Active Directory 枚举以及使用中文开源后渗透工具(FScan、Searchall、Pillager、SharpGPOAbuse),尽管分析人员没有发现任何确凿的代码或基础设施重叠,可以将 StrikeShark 归因于已建立的 APT。

技术复杂性,包括加载器锁定操纵、反射式 PE 加载、分层加密、基于 Detours/Jitasm 的系统调用规避、MinHook 内存技巧以及 Cobalt Strike 的部署,使得本次攻击活动成为一项高风险活动,需要快速检测和遏制。

组织应优先修补暴露的面向互联网的服务,监控异常的计划任务和合法二进制文件的异常使用,启用 LSASS 保护,并查找内存中的 Beacon 指标。

有关详细的 CVE 参考和技术指标,请参阅供应商的建议和公开报告,其中记录了 CVE-2021-26855、CVE-2022-41082、CVE-2023-32315 以及与此活动相关的其他漏洞。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《StrikeShark 攻击活动利用新型 SharkLoader 恶意软件部署 Cobalt Strike Beacon》

评论:0   参与:  0