Cientistas de segurança descobriram um novo carregador de malware chamado SharkLoader que está se infiltrando silenciosamente em redes escondendo-se dentro de instaladores de software falsos. A ferramenta foi vista entregando o Cobalt Strike Beacon, um framework de pós-exploração bem conhecido, em máquinas comprometidas.
Campanha e vetores de ataque
Os atacantes, rastreados sob o nome de cluster StrikeShark, não estão dependendo de uma única maneira de entrar em uma rede. Eles exploram falhas conhecidas em software como Microsoft Exchange, SharePoint, appliances Fortinet e Cisco IOS XE, enquanto também distribuem droppers que fingem ser ferramentas como Cisco AnyConnect e Google Update.
Técnicas de evasão e persistência
O SharkLoader não para de entrar silenciosamente, ele também trabalha duro para se manter escondido depois. O malware hooka inúmeras chamadas de API do Windows e as redireciona para chamadas de sistema brutas geradas sob demanda, ajudando-o a escapar de ferramentas que observam comportamento suspeito. Para se manter, os operadores configuram tarefas agendadas que rodam a cada cinco minutos, chaves de execução de registro e tarefas agendadas adicionais executadas com privilégios de nível SYSTEM.
Impacto e alcance
Vítimas confirmadas abrangem órgãos governamentais, missões diplomáticas e empresas de software em Indonésia, Taiwan, Hong Kong, Líbano, Síria, Colômbia, Macedônia do Norte, Nepal e Sérvia. A concentração de ataques em redes governamentais e diplomáticas levanta questões sobre motivos de coleta de inteligência.
Recomendações de defesa
A PolySwarm recomenda que as organizações priorizem o patching de aplicativos voltados para a internet e appliances de rede rapidamente. As equipes de segurança também devem observar comportamento incomum de side loading de DLL e caçar sinais de execução em memória em vez de depender apenas de assinaturas estáticas.
Indicadores de comprometimento (IoCs)
Os indicadores incluem o hash SHA256 6a5f9bd0e4a0c385b98cc7b528be53a95ff9c4ccffa8c1f65448ab792a46186 para amostras de instaladores falsos. Arquivos como SystemSettings.exe e SystemSettings.dll foram identificados como parte da técnica de side loading de DLL.