Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Новиот малициозен софтвер SharkLoader го распоредува Cobalt Strike во сајбер-нападите StrikeShark

Објавено: 29.06.2026

Откриена е нова кампања на сајбер-напади во која се користи досега недокументирана фамилија на малициозен софтвер наречена SharkLoader, која служи како „loader“ за распоредување на Cobalt Strike Beacon на компромитирани системи.

Компанијата Kaspersky, која ја следи оваа активност под името StrikeShark, соопшти дека кампањата ги таргетирала дипломатска организација во Индонезија, владини институции во Тајван, компании за развој на софтвер во повеќе држави, како и организации од различни сектори во Хонг Конг, Либан, Сирија, Колумбија, Северна Македонија, Непал и Србија.

„Досега забележаните жртви укажуваат на кампања со широко географско распространување и разновиден избор на цели, наместо на тесно насочена операција кон одредена индустрија или регион“, соопшти руската компанија за сајбер-безбедност.

Во кампањата не се забележани директни врски со некоја позната хакерска група или актер на закани. Сепак, операторите користеле неколку алатки со отворен код за активности по компромитирањето на системите, како што се FScan и Pillager, кои често ги користат програмери што зборуваат кинески јазик. Поради тоа, истражувачите сметаат дека зад кампањата најверојатно стои актер на закани кој зборува кинески.

Синџирот на напад започнува преку две главни патеки за почетен пристап:

  • искористување на познати ранливости во Microsoft Exchange Server, како што е CVE-2021-26855 (ProxyLogon), за напад врз дипломатската организација во Индонезија;
  • искористување на ранливост од типот path traversal во Openfire (CVE-2023-32315) за напад врз тајвански компании за развој на софтвер;
  • искористување на критична ранливост за далечинско извршување на код (Remote Code Execution – RCE) во GeoServer (CVE-2024-36401) за напад врз организација во Колумбија.

Други ранливости за далечинско извршување на код и заобиколување на автентикацијата што ги користеле напаѓачите се:

  • Apache Shiro: CVE-2016-4437
  • Hikvision производи: CVE-2021-36260
  • Microsoft SharePoint: CVE-2021-27076
  • Zimbra Collaboration Suite: CVE-2022-27925
  • Microsoft Exchange Server: CVE-2022-41082 (ProxyNotShell)
  • F5 BIG-IP: CVE-2023-46747
  • Fortinet FortiOS: CVE-2024-21762
  • React Server Components: CVE-2025-55182
  • Fortinet FortiOS: CVE-2022-40684
  • Cisco IOS XE Web UI: CVE-2023-20198

Истражувачите проценуваат дека напаѓачите најверојатно користат јавно достапни Proof-of-Concept (PoC) експлоити објавени на GitHub или други платформи со отворен код за опортунистички да добијат почетен пристап до системите.

Откако ќе воспостават пристап до компромитираниот систем, напаѓачите обезбедуваат трајно присуство (persistence) со поставување web shell скрипти, кои активираат синџир на DLL side-loading преку датотеката SystemSettings.exe (поврзана со ранливоста CVE-2021-27076) за да го вчитаат SharkLoader преку библиотеката SystemSettings.dll.

Вториот метод што StrikeShark го користи за дистрибуција на SharkLoader е преку специјално изработени dropper извршни датотеки, кои се претставуваат како легитимни инсталатери или апликации, како што се Google Update и Cisco AnyConnect. По завршувањето на лажниот процес на инсталација, тие го активираат вчитувачот на малициозниот софтвер. Во моментов не е познато на кој начин овие dropper-и се доставуваат до жртвите.

„Покрај мамките што имитираат инсталатери, неколку SharkLoader dropper-и користат и лажни PDF документи за да ги убедат жртвите да ја отворат малициозната датотека“, објаснува Kaspersky. „Сепак, не сите примероци ја користат оваа техника, бидејќи дел од dropper-ите служат исклучиво како механизам за испорака на SharkLoader без да прикажуваат каква било мамка.“

Откако ќе се вчита DLL-датотеката, SharkLoader применува техника позната како Perfect DLL Hijacking, опишана од безбедносниот истражувач Елиот Килик во октомври 2023 година. Оваа техника овозможува извршување на малициозен код со заобиколување на Windows Loader Lock – системски механизам што оперативниот систем го користи при вчитување и отстранување на DLL-датотеки.

Поконкретно, SharkLoader е дизајниран да ја дешифрира и вчита датотеката DscCoreR.mui, која потоа се користи за декомпресија и вчитување на Cobalt Strike во нова нишка (thread) создадена во суспендирана состојба. Во истиот процес се вчитуваат уште две компоненти:

  • SyncRes.dat – инсталира повеќе Windows API куки (hooks) со користење на библиотеката Microsoft Detours, со цел да ги следи исклучоците што се појавуваат за време на извршувањето.
  • MinHook DLL – поставува API куки за функциите VirtualAlloc и Sleep, овозможувајќи декомпресираниот Cobalt Strike Beacon да се копира во доделениот мемориски простор преку VirtualAlloc. Куката поврзана со функцијата Sleep се активира кога Beacon ја повикува оваа функција, најверојатно за да ги избегне техниките за скенирање на меморијата кои бараат извршливи (RWX) мемориски региони.

„Откако ќе се инсталираат API куките и shellcode-от на Cobalt Strike Beacon ќе се запише во баферот на нишката, малициозниот софтвер ја повикува функцијата ResumeThread за да ја активира претходно суспендираната нишка и да започне со извршување на Beacon“, објаснува Kaspersky.

Иако SharkLoader сам по себе не содржи механизми за трајно присуство (persistence), утврдено е дека напаѓачите користат Registry Run клучеви и закажани задачи (Scheduled Tasks) за автоматски да ја стартуваат програмата SystemSettings.exe при најавување на корисникот, па дури и кога нема активна корисничка сесија.

По иницијалната компромитација и воспоставувањето на трајно присуство, нападите продолжуваат со обемна фаза на извидување (reconnaissance). Во оваа фаза напаѓачите:

  • вршат Active Directory енумерација;
  • крадат акредитиви преку таргетирање на процесот LSASS и датотеката NTDS;
  • користат алатки со отворен код како FScan, Searchall и Pillager за скенирање на мрежата и собирање информации.

Бидејќи досега не е забележано активно извлекување на податоци (data exfiltration), сè уште не е целосно јасно која е крајната цел на кампањата StrikeShark. Сепак, фактот што мета се владини институции и компании за развој на софтвер укажува на можни активности поврзани со сајбер-шпионажа, со потенцијален интерес за прибирање политички разузнавачки информации или интелектуална сопственост.

„Истовремено, употребата на SharkLoader и Cobalt Strike, заедно со експлоатацијата на јавно достапни апликации, малициозни инсталатери и dropper-и, укажува дека напаѓачите можеби опортунистички ги таргетираат ранливите системи“, наведува Kaspersky. „Отсуството на јасни докази за извлекување податоци досега не ја исклучува оваа можност, бидејќи модулите на Cobalt Strike за работа со датотеки и ексфилтрација на податоци може да бидат активирани во подоцнежна фаза од нападот.“

Извори:

  • The Hacker News – New SharkLoader Malware Deploys Cobalt Strike in StrikeShark Cyberattacks The Hacker News