Se ha observado una campaña de ciberataque recientemente descubierta que entrega una familia de malware previamente no documentada llamada SharkLoader, que actúa como un cargador para implementar Cobalt Strike Beacon en hosts comprometidos.
Kaspersky Lab, que está siguiendo la campaña bajo el nombre StrikeShark, dijo que la campaña estaba dirigida a instituciones diplomáticas en Indonesia, agencias gubernamentales en Taiwán, desarrolladores de software en varios países y entidades relacionadas con otros sectores en Hong Kong, Líbano, Siria, Colombia, Macedonia del Norte, Nepal y Serbia.
«El daño observado sugiere una campaña con un amplio alcance geográfico y diversos objetivos, en lugar de centrarse en una industria o región específica», dijo el proveedor ruso de ciberseguridad.
Aunque esta campaña no muestra ningún vínculo directo con actores o grupos de amenazas conocidos, los operadores utilizaron varias herramientas posteriores a la infracción de código abierto comúnmente utilizadas por desarrolladores de habla china, incluidos FScan y Pillager. Se cree que esta campaña es obra de atacantes de habla china.
La cadena de ataque incluye dos rutas de acceso iniciales. Una es explotar fallas conocidas en Exchange Server como CVE-2021-26855 (también conocido como ProxyLogon) para atacar una organización diplomática indonesia o, en el caso de una organización de desarrollo de software taiwanesa, la vulnerabilidad de recorrido de ruta que afecta a Openfire (CVE-2023-32315) o un error crítico de ejecución remota de código en GeoServer. (CVE-2024-36401) Dirigido a organizaciones en Colombia.
A continuación se enumeran otras vulnerabilidades de elusión de autenticación y ejecución remota de código utilizadas como arma por actores de amenazas.
Se evalúa que los atacantes probablemente estén aprovechando exploits de prueba de concepto (PoC) disponibles públicamente alojados en GitHub u otras plataformas de código abierto para obtener acceso inicial por conveniencia. Una vez que el atacante se afianza, implementa un shell web para establecer la persistencia y desencadenar una cadena de descarga de DLL que incluye «SystemSettings.exe» (CVE-2021-27076) para entregar SharkLoader («SystemSettings.dll»).
El segundo método utilizado por StrikeShark para distribuir el cargador es a través de un ejecutable de cuentagotas personalizado que pretende ser un instalador de software legítimo o una aplicación como Google Update o Cisco AnyConnect, que ejecuta el cargador de malware una vez completado el proceso de instalación. Actualmente se desconoce cómo se entregarán estos goteros.
«Además de los señuelos con temas de instaladores, algunos droppers de SharkLoader utilizan documentos PDF señuelo para engañar a las víctimas para que abran archivos maliciosos», explicó Kaspersky. «Sin embargo, no todas las muestras emplean esta tecnología, ya que algunos goteros actúan sólo como un mecanismo de entrega para el SharkLoader sin presentar el contenido del señuelo».
Cuando se carga una DLL, SharkLoader implementa lo que se llama secuestro perfecto de DLL. Se trata de una técnica detallada por el investigador de seguridad Elliot Killick en octubre de 2023 que ejecuta código malicioso sin pasar por el bloqueo del cargador de Windows, un bloqueo de todo el sistema que mantiene el sistema operativo al cargar y descargar archivos DLL.
Específicamente, está diseñado para descifrar y cargar «DscCoreR.mui», que junto con otros dos componentes se utiliza para descomprimir y cargar Cobalt Strike en un nuevo hilo creado en estado suspendido.
SyncRes.dat. Instale varios enlaces API de Windows utilizando la biblioteca Microsoft Detours para monitorear las excepciones generadas en tiempo de ejecución. DLL MinHook. Instale enlaces API para las funciones VirtualAlloc y Sleep y copie el Cobalt Strike Beacon descomprimido en el espacio de memoria asignado usando VirtualAlloc. Los ganchos relacionados con el sueño se activan cuando una baliza llama al sueño. Esto puede intentar evadir las técnicas de escaneo de memoria que identifican áreas de código ejecutable (RWX) en la memoria.
«Finalmente, después de instalar el gancho API y escribir el shellcode de Cobalt Strike Beacon en el búfer de subprocesos, el malware llama a la API ResumeThread para reanudar el subproceso suspendido y comenzar a ejecutar la baliza», explicó Kaspersky.
Aunque SharkLoader no tiene un mecanismo de persistencia incorporado, se ha descubierto que los actores de amenazas utilizan claves de ejecución de registro y tareas programadas como una forma de activar el inicio de ‘SystemSettings.exe’ cuando un usuario inicia sesión o incluso cuando un usuario no inicia sesión.
El ataque también incluyó una extensa fase de reconocimiento después del compromiso inicial y la persistencia, en la que los actores de amenazas participaron en la enumeración de Active Directory, el robo de credenciales dirigido a procesos LSASS y archivos de bases de datos NTDS, y desplegaron escáneres de código abierto y herramientas de recopilación de inteligencia como FScan, Searchall y Pillager.
Dada la falta de filtración activa de datos, no está claro cuál es el objetivo final de StrikeShark. Sin embargo, apuntar a gobiernos y organizaciones de desarrollo de software sugiere que el ciberespionaje tiene intereses potenciales en la inteligencia política y la vigilancia de la propiedad intelectual.
«Al mismo tiempo, el uso de SharkLoader y Cobalt Strike, junto con la explotación de aplicaciones públicas e instaladores y droppers maliciosos, sugiere que los atacantes pueden estar apuntando a sistemas vulnerables de manera oportunista», dijo Kaspersky. «La falta de evidencia clara de exfiltración de datos hasta ahora no excluye esta posibilidad, ya que los módulos de manipulación de archivos y exfiltración de datos de Cobalt Strike podrían usarse en una etapa posterior».
Source link
