تمت ملاحظة حملة هجوم إلكتروني تم اكتشافها حديثًا وهي تقدم عائلة برامج ضارة غير موثقة مسبقًا تسمى com.SharkLoader الذي يعمل كمحمل لنشر Cobalt Strike Beacon على الأجهزة المضيفة المخترقة.
Kaspersky، الذي يتتبع النشاط تحت الاسم المستعار سترايك شاركوقال إن الحملة استهدفت منظمة دبلوماسية في إندونيسيا، ومنظمات حكومية في تايوان، وشركات تطوير برمجيات في العديد من البلدان، وكيانات مرتبطة بقطاعات أخرى تقع في هونغ كونغ، ولبنان، وسوريا، وكولومبيا، ومقدونيا الشمالية، ونيبال، وصربيا.
وقال بائع الأمن السيبراني الروسي: “إن الضحايا المرصودين يشيرون إلى حملة ذات نطاق جغرافي واسع ومجموعة أهداف متنوعة بدلاً من التركيز الضيق على صناعة أو منطقة معينة”.
لا تعرض الحملة روابط مباشرة لأي جهة أو مجموعة تهديد معروفة، على الرغم من أن المشغلين استخدموا العديد من أدوات ما بعد الاختراق مفتوحة المصدر مثل FScan وPillager، والتي يتم استخدامها عادة من قبل المطورين الناطقين باللغة الصينية. ويعتقد أن الحملة هي من عمل ممثل التهديد الناطق باللغة الصينية.
تتضمن سلاسل الهجوم مسارين للوصول الأوليين: استغلال عيوب Exchange Server المعروفة، مثل CVE-2021-26855 (المعروف أيضًا باسم ProxyLogon)، لضرب الكيان الدبلوماسي الإندونيسي، أو من خلال ثغرة أمنية في اجتياز المسار تؤثر على Openfire (CVE-2023-32315) في حالة مؤسسات تطوير البرمجيات التايوانية، أو خطأ بالغ الأهمية في تنفيذ التعليمات البرمجية عن بعد في GeoServer (CVE-2024-36401) لاستهداف المنظمة الكولومبية.
فيما يلي ثغرات أخرى في تنفيذ التعليمات البرمجية عن بعد وتجاوز المصادقة، والتي تم تسليحها بواسطة جهة التهديد –
تشير التقديرات إلى أن الجهات الفاعلة في مجال التهديد من المحتمل أن تستخدم عمليات استغلال إثبات المفهوم (PoC) المتاحة للجمهور والمستضافة على GitHub أو منصات أخرى مفتوحة المصدر للحصول على وصول أولي بطريقة انتهازية. عند الحصول على موطئ قدم، تثبت الجهات الفاعلة في التهديد الثبات من خلال نشر أغلفة الويب لتشغيل سلسلة تحميل جانبي لـ DLL تتضمن “SystemSettings.exe” (CVE-2021-27076) لتوصيل SharkLoader (“SystemSettings.dll”).
الطريقة الثانية التي يستخدمها StrikeShark لتوزيع أداة التحميل هي عبر ملفات تنفيذية مخصصة للقطارة تتنكر في شكل مثبتات برامج شرعية أو تطبيقات مثل Google Update وCisco AnyConnect، وتنفيذ أداة تحميل البرامج الضارة بمجرد اكتمال عملية التثبيت. الطريقة التي يتم بها تسليم هذه القطارات غير معروفة حاليًا.
وأوضح كاسبرسكي أنه “بالإضافة إلى الإغراءات التي تعتمد على أدوات التثبيت، تستخدم العديد من برامج تنزيل SharkLoader مستندات PDF وهمية لإقناع الضحايا بفتح الملف الضار”. “ومع ذلك، لا تستخدم جميع العينات هذه التقنية، حيث تعمل بعض أدوات التوصيل فقط كآلية تسليم لـ SharkLoader دون تقديم أي محتوى إغراء.”
بمجرد تحميل ملف DLL، ينفذ SharkLoader ما يسمى Perfect DLL Hijacking، وهي تقنية تم تفصيلها بواسطة الباحث الأمني Elliot Killick في أكتوبر 2023، لتنفيذ تعليمات برمجية ضارة أثناء تجاوز Windows Loader Lock، وهو قفل على مستوى النظام يحتفظ به نظام التشغيل عند تحميل وتفريغ ملفات DLL.
على وجه التحديد، تم تصميمه لفك تشفير وتحميل “DscCoreR.mui”، والذي يتم استخدامه بعد ذلك لفك ضغط Cobalt Strike وتحميله في سلسلة رسائل جديدة تم إنشاؤها في حالة معلقة، بالإضافة إلى مكونين آخرين –
- SyncRes.dat، الذي يقوم بتثبيت عدة خطافات Windows API باستخدام مكتبة Microsoft Detours لمراقبة الاستثناءات التي تم إنشاؤها أثناء وقت التشغيل.
- MinHook DLL، الذي يقوم بتثبيت وصلات API لوظيفتي VirtualAlloc وSleep لنسخ Cobalt Strike Beacon التي تم فك ضغطها إلى منطقة الذاكرة المخصصة باستخدام VirtualAlloc. يتم تشغيل الخطاف المتعلق بالنوم عندما يستدعي Beacon وضع Sleep (النوم)، وذلك على الأرجح في محاولة لتجنب تقنيات مسح الذاكرة التي تحدد مناطق التعليمات البرمجية القابلة للتنفيذ (RWX) في الذاكرة.
وأوضح كاسبرسكي: “أخيرًا، بعد تثبيت وصلات واجهة برمجة التطبيقات (API) وكتابة كود القشرة Cobalt Strike Beacon في المخزن المؤقت لمؤشر الترابط، تستدعي البرامج الضارة واجهة برمجة تطبيقات ResumeThread لاستئناف الخيط المعلق وبدء تنفيذ المرشد”.
على الرغم من أن SharkLoader لا يأتي مزودًا بآليات استمرارية مضمنة فيه، فقد تبين أن جهة التهديد تستفيد من مفاتيح تشغيل التسجيل والمهام المجدولة كوسيلة لتنشيط تشغيل “SystemSettings.exe” إما عند قيام المستخدم بتسجيل الدخول، أو حتى في حالة عدم قيام أي مستخدم بتسجيل الدخول.
تتضمن الهجمات أيضًا مرحلة استطلاع واسعة النطاق بعد التسوية الأولية والمثابرة، حيث يشارك ممثل التهديد في تعداد Active Directory، وسرقة بيانات الاعتماد من خلال استهداف عملية LSASS وملف قاعدة بيانات NTDS، ونشر الماسحات الضوئية مفتوحة المصدر وأدوات جمع المعلومات مثل FScan وSearchall وPillager.
نظرًا لغياب التسلل النشط للبيانات، فمن غير الواضح ما هي الأهداف النهائية لـ StrikeShark. ومع ذلك، فإن استهداف الحكومة ومنظمات تطوير البرمجيات يشير إلى وجود تجسس إلكتروني مع مصلحة محتملة في تهريب الاستخبارات السياسية أو الملكية الفكرية.
وقالت كاسبرسكي: “في الوقت نفسه، يشير استخدام SharkLoader وCobalt Strike، إلى جانب استغلال التطبيقات العامة وأدوات التثبيت والتنزيل الضارة، إلى أن المهاجم ربما يستهدف أيضًا الأنظمة الضعيفة بشكل انتهازي”. “إن عدم وجود دليل واضح على تسرب البيانات حتى الآن لا يستبعد هذا الاحتمال، حيث يمكن استخدام وحدات تشغيل الملفات وتسرب البيانات في Cobalt Strike في مرحلة لاحقة.”
