Se ha observado una campaña de ciberataque recientemente descubierta que entrega una familia de malware previamente no documentada llamada cargador de tiburones que actúa como un cargador para implementar Cobalt Strike Beacon en hosts comprometidos.
Kaspersky, que rastrea la actividad bajo el nombre de HuelgaTiburóndijo que la campaña se ha dirigido a una organización diplomática en Indonesia, organizaciones gubernamentales en Taiwán, empresas de desarrollo de software en varios países y entidades asociadas con otros sectores ubicados en Hong Kong, Líbano, Siria, Colombia, Macedonia del Norte, Nepal y Serbia.
“La victimología observada sugiere una campaña con un amplio alcance geográfico y un conjunto de objetivos diversos en lugar de un enfoque limitado en una industria o región específica”, dijo el proveedor ruso de ciberseguridad.
La campaña no muestra vínculos directos con ningún actor o grupo de amenazas conocido, aunque los operadores han utilizado varias herramientas de código abierto posteriores al compromiso, como FScan y Pillager, comúnmente utilizadas por desarrolladores de habla china. Se cree que la campaña es obra de un actor amenazador de habla china.
Las cadenas de ataque involucran las dos vías de acceso iniciales: la explotación de fallas conocidas de Exchange Server, como CVE-2021-26855 (también conocido como ProxyLogon), para atacar a la entidad diplomática de Indonesia, o a través de una vulnerabilidad de recorrido de ruta que afecta a Openfire (CVE-2023-32315) en el caso de organizaciones de desarrollo de software taiwanesas, o un error crítico de ejecución remota de código en GeoServer (CVE-2024-36401) para atacar a un colombiano. organización.
Otras vulnerabilidades de elusión de autenticación y ejecución remota de código utilizadas por el actor de amenazas se enumeran a continuación:
Se evalúa que los actores de amenazas probablemente estén empleando exploits de prueba de concepto (PoC) disponibles públicamente alojados en GitHub u otras plataformas de código abierto para obtener acceso inicial de manera oportunista. Al lograr un punto de apoyo, los actores de amenazas establecen persistencia mediante la implementación de shells web para activar una cadena de carga lateral de DLL que involucra a “SystemSettings.exe” (CVE-2021-27076) para entregar SharkLoader (“SystemSettings.dll”).
Un segundo método utilizado por StrikeShark para distribuir el cargador es a través de ejecutables de cuentagotas personalizados que se hacen pasar por instaladores de software o aplicaciones legítimos como Google Update y Cisco AnyConnect, y ejecutan el cargador de malware una vez que se completa el proceso de instalación. Actualmente se desconoce el método por el cual se administran estos goteros.
“Además de los señuelos con temas de instalador, varios droppers de SharkLoader utilizan documentos PDF señuelo para persuadir a las víctimas a abrir el archivo malicioso”, explicó Kaspersky. “Sin embargo, no todas las muestras emplean esta técnica, ya que algunos goteros funcionan únicamente como un mecanismo de entrega para SharkLoader sin presentar ningún contenido de señuelo”.
Una vez cargada la DLL, SharkLoader implementa lo que se llama Perfect DLL Hijacking, una técnica detallada por el investigador de seguridad Elliot Killick en octubre de 2023, para ejecutar código malicioso sin pasar por Windows Loader Lock, un bloqueo de todo el sistema que mantiene el sistema operativo al cargar y descargar DLL.
Específicamente, está diseñado para descifrar y cargar “DscCoreR.mui”, que luego se usa para descomprimir y cargar Cobalt Strike en un nuevo hilo creado en estado suspendido, junto con otros dos componentes:
- SyncRes.dat, que instala varios enlaces API de Windows mediante el uso de la biblioteca Microsoft Detours para monitorear las excepciones generadas durante el tiempo de ejecución.
- MinHook DLL, que instala enlaces API para las funciones VirtualAlloc y Sleep para copiar el Cobalt Strike Beacon descomprimido en la región de memoria asignada usando VirtualAlloc. El gancho relacionado con el sueño se activa cuando Beacon llama al sueño, probablemente en un intento de evadir las técnicas de escaneo de memoria que identifican regiones de código ejecutable (RWX) en la memoria.
“Finalmente, después de instalar los ganchos de API y de que el código shell de Cobalt Strike Beacon se haya escrito en el búfer de subprocesos, el malware llama a la API ResumeThread para reanudar el subproceso suspendido y comenzar la ejecución de la baliza”, explicó Kaspersky.
Si bien SharkLoader no viene con mecanismos de persistencia integrados, se ha descubierto que el actor de amenazas aprovecha las claves de ejecución del registro y las tareas programadas como una forma de activar el inicio de “SystemSettings.exe” cuando un usuario inicia sesión o incluso si ningún usuario inicia sesión.
Los ataques también implican una extensa fase de reconocimiento después del compromiso inicial y la persistencia, en la que el actor de la amenaza participa en la enumeración de Active Directory, el robo de credenciales apuntando al proceso LSASS y el archivo de base de datos NTDS, y la implementación de escáneres de código abierto y herramientas de recopilación de información como FScan, Searchall y Pillager.
Dada la ausencia de filtración activa de datos, no está claro cuáles son los objetivos finales de StrikeShark. Sin embargo, apuntar a organizaciones gubernamentales y de desarrollo de software sugiere un ciberespionaje con un interés potencial en acaparar inteligencia política o propiedad intelectual.
“Al mismo tiempo, el uso de SharkLoader y Cobalt Strike, junto con la explotación de aplicaciones públicas e instaladores y droppers maliciosos, sugiere que el atacante también puede estar apuntando de manera oportunista a sistemas vulnerables”, dijo Kaspersky. “La ausencia de pruebas claras de exfiltración de datos hasta el momento no excluye esta posibilidad, ya que la operación de archivos y los módulos de exfiltración de datos de Cobalt Strike podrían emplearse en una etapa posterior”.