Специалисты из Глобального центра исследований и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) выявили новую изощрённую вредоносную операцию под названием StrikeShark. Злоумышленникам удалось проникнуть в несколько организаций по всему миру, включая компании на Тайване, в Индонезии, Гонконге, Ливане, Сирии, Колумбии, Северной Македонии, Непале и Сербии. Для этого атакующие применили ранее неизвестный загрузчик вредоносного программного обеспечения — SharkLoader. На текущий момент «Лаборатория Касперского» не ассоциирует данную кампанию ни с одной из известных хакерских группировок и продолжает мониторинг её активности.
Механизм заражения. Для первоначального проникновения применялись различные методы. В частности, злоумышленники эксплуатировали уязвимости в интернет-приложениях, таких как Microsoft Exchange, Microsoft SharePoint и Openfire. В других случаях использовались вредоносные дропперы, замаскированные под легитимное программное обеспечение, например, под установщики Google Update или Cisco AnyConnect, а также под фишинговые PDF-документы, чтобы обманным путём вынудить пользователей загрузить вредоносное ПО.
Многоступенчатый процесс заражения. Техническая сложность SharkLoader указывает на высокий уровень навыков злоумышленников. Заражение начинается с эксплуатации уязвимости или установки дроппера — в том числе под видом легитимного приложения. Затем применяется боковая загрузка DLL-файлов с использованием различных легитимных приложений Windows для загрузки зашифрованных вредоносных модулей. Эти модули расшифровываются и рефлексивно загружают дополнительные компоненты, предназначенные для установки API-хуков с целью обхода механизмов обнаружения и, в конечном итоге, для внедрения и запуска Cobalt Strike Beacon — легитимного инструмента для тестирования на проникновение. Злоумышленники часто используют его для управления и контроля, разведки, перемещения по сети и вывода данных из скомпрометированных систем.
«Кампания StrikeShark демонстрирует изменения в ландшафте киберугроз. Злоумышленники комбинируют легкодоступные инструменты атак с индивидуально разработанным вредоносным ПО и передовыми методами обхода защиты. Использование приманок, маскирующихся под легитимные ресурсы, и эксплуатация известных уязвимостей подчёркивают острую необходимость для организаций обеспечивать тщательное управление исправлениями, эффективное обнаружение и реагирование на угрозы на конечных устройствах, а также проводить всестороннее обучение сотрудников по вопросам информационной безопасности», — отметил Сергей Ложкин, руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке.
«Лаборатория Касперского» советует для обеспечения безопасности: своевременно обновляйте все программы, чтобы закрывать известные уязвимости; применяйте надежные защитные инструменты для выявления и предотвращения дропперов вредоносного ПО; обучайте персонал основам цифровой грамотности, чтобы снизить вероятность атак с применением методов социальной инженерии, включая фишинг; в этом могут помочь специализированные курсы или тренинги, например, Kaspersky Automated Security Awareness Platform; используйте комплексное средство защиты, такое как Kaspersky Symphony XDR. Это многоуровневая платформа кибербезопасности, объединяющая функции централизованного мониторинга и анализа данных, передового обнаружения угроз и реагирования на них, а также средства расследования инцидентов безопасности. Данное решение подходит для среднего и крупного бизнеса в любых отраслях.