🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma campanha de ataque cibernético recém-descoberta foi observada entregando uma família de malware anteriormente não documentada chamada SharkLoader, que atua como um carregador para implantação do Cobalt Strike Beacon em hosts comprometidos.
A Kaspersky, que acompanha a atividade sob o nome de StrikeShark, disse que a campanha tem como alvo uma organização diplomática na Indonésia, organizações governamentais em Taiwan, empresas de desenvolvimento de software em vários países e entidades associadas a outros setores localizados em Hong Kong, Líbano, Síria, Colômbia, Macedônia do Norte, Nepal e Sérvia.
“A vitimologia observada sugere uma campanha com amplo alcance geográfico e um conjunto de alvos diversificado, em vez de um foco estreito numa indústria ou região específica”, disse o fornecedor russo de segurança cibernética.
A campanha não apresenta ligações diretas a nenhum ator ou grupo de ameaça conhecido, embora os operadores tenham utilizado várias ferramentas pós-comprometimento de código aberto, como FScan e Pillager, comumente utilizadas por desenvolvedores de língua chinesa. Acredita-se que a campanha seja obra de um ator ameaçador que fala chinês.
As cadeias de ataque envolvem as duas vias de acesso iniciais: a exploração de falhas conhecidas do Exchange Server, como CVE-2021-26855 (também conhecido como ProxyLogon), para atacar a entidade diplomática indonésia, ou através de uma vulnerabilidade de passagem de caminho que afeta o Openfire (CVE-2023-32315) no caso de organizações de desenvolvimento de software de Taiwan, ou um bug crítico de execução remota de código no GeoServer (CVE-2024-36401) para atingir um Organização colombiana.
Outras vulnerabilidades de execução remota de código e desvio de autenticação transformadas em armas pelo ator da ameaça estão listadas abaixo -
Apache Shiro: CVE-2016-4437
Produtos Hikvision: CVE-2021-36260
Microsoft SharePoint: CVE-2021-27076
Suíte de colaboração Zimbra: CVE-2022-27925
Microsoft Exchange Server: CVE-2022-41082 (também conhecido como ProxyNotShell)
F5 BIG-IP: CVE-2023-46747
Fortinet FortiOS: CVE-2024-21762
Componentes do servidor React: CVE-2025-55182
Fortinet FortiOS: CVE-2022-40684
UI da Web do Cisco IOS XE: CVE-2023-20198
Avalia-se que os atores da ameaça provavelmente estão empregando explorações de prova de conceito (PoC) disponíveis publicamente, hospedadas no GitHub ou em outras plataformas de código aberto, para obter acesso inicial de maneira oportunista. Ao se firmarem, os agentes da ameaça estabelecem persistência implantando web shells para acionar uma cadeia de carregamento lateral de DLL envolvendo "SystemSettings.exe" (CVE-2021-27076) para entregar SharkLoader ("SystemSettings.dll").
Um segundo método usado pelo StrikeShark para distribuir o carregador é por meio de executáveis dropper personalizados, disfarçados de instaladores de software legítimos ou aplicativos como Google Update e Cisco AnyConnect, e executar o carregador de malware assim que o processo de instalação for concluído. O método pelo qual esses conta-gotas são administrados é atualmente desconhecido.
“Além das iscas com tema de instalação, vários droppers do SharkLoader usam documentos PDF falsos para persuadir as vítimas a abrir o arquivo malicioso”, explicou Kaspersky. “No entanto, nem todas as amostras empregam esta técnica, já que alguns conta-gotas funcionam apenas como um mecanismo de entrega para o SharkLoader, sem apresentar qualquer conteúdo de isca.”
Depois que a DLL é carregada, o SharkLoader implementa o que é chamado de Perfect DLL Hijacking, uma técnica detalhada pelo pesquisador de segurança Elliot Killick em outubro de 2023, para executar código malicioso enquanto contorna o Windows Loader Lock, um bloqueio de todo o sistema mantido pelo sistema operacional ao carregar e descarregar DLLs.
Especificamente, ele foi projetado para descriptografar e carregar "DscCoreR.mui", que é então usado para descompactar e carregar o Cobalt Strike em um novo thread criado em estado suspenso, junto com dois outros componentes -
SyncRes.dat, que instala vários ganchos de API do Windows usando a biblioteca Microsoft Detours para monitorar exceções geradas durante o tempo de execução.
MinHook DLL, que instala ganchos de API para as funções VirtualAlloc e Sleep para copiar o Cobalt Strike Beacon descompactado na região de memória alocada usando VirtualAlloc. O gancho relacionado ao Sleep é acionado quando o Beacon chama o Sleep, provavelmente em uma tentativa de evitar técnicas de varredura de memória que identificam regiões de código executável (RWX) na memória.
“Finalmente, depois que os ganchos da API são instalados e o shellcode do Cobalt Strike Beacon foi gravado no buffer do thread, o malware chama a API ResumeThread para retomar o thread suspenso e iniciar a execução do beacon”, explicou Kaspersky.
Embora o SharkLoader não venha com mecanismos de persistência integrados, descobriu-se que o agente da ameaça aproveita as chaves de execução do registro e as tarefas agendadas como uma forma de ativar o lançamento de "SystemSettings.exe" quando um usuário faz login ou mesmo se nenhum usuário estiver conectado.
Os ataques também envolvem uma extensa fase de reconhecimento após comprometimento e persistência iniciais, com o ator da ameaça engajado em Active Dir
A Kaspersky, que acompanha a atividade sob o nome de StrikeShark, disse que a campanha tem como alvo uma organização diplomática na Indonésia, organizações governamentais em Taiwan, empresas de desenvolvimento de software em vários países e entidades associadas a outros setores localizados em Hong Kong, Líbano, Síria, Colômbia, Macedônia do Norte, Nepal e Sérvia.
“A vitimologia observada sugere uma campanha com amplo alcance geográfico e um conjunto de alvos diversificado, em vez de um foco estreito numa indústria ou região específica”, disse o fornecedor russo de segurança cibernética.
A campanha não apresenta ligações diretas a nenhum ator ou grupo de ameaça conhecido, embora os operadores tenham utilizado várias ferramentas pós-comprometimento de código aberto, como FScan e Pillager, comumente utilizadas por desenvolvedores de língua chinesa. Acredita-se que a campanha seja obra de um ator ameaçador que fala chinês.
As cadeias de ataque envolvem as duas vias de acesso iniciais: a exploração de falhas conhecidas do Exchange Server, como CVE-2021-26855 (também conhecido como ProxyLogon), para atacar a entidade diplomática indonésia, ou através de uma vulnerabilidade de passagem de caminho que afeta o Openfire (CVE-2023-32315) no caso de organizações de desenvolvimento de software de Taiwan, ou um bug crítico de execução remota de código no GeoServer (CVE-2024-36401) para atingir um Organização colombiana.
Outras vulnerabilidades de execução remota de código e desvio de autenticação transformadas em armas pelo ator da ameaça estão listadas abaixo -
Apache Shiro: CVE-2016-4437
Produtos Hikvision: CVE-2021-36260
Microsoft SharePoint: CVE-2021-27076
Suíte de colaboração Zimbra: CVE-2022-27925
Microsoft Exchange Server: CVE-2022-41082 (também conhecido como ProxyNotShell)
F5 BIG-IP: CVE-2023-46747
Fortinet FortiOS: CVE-2024-21762
Componentes do servidor React: CVE-2025-55182
Fortinet FortiOS: CVE-2022-40684
UI da Web do Cisco IOS XE: CVE-2023-20198
Avalia-se que os atores da ameaça provavelmente estão empregando explorações de prova de conceito (PoC) disponíveis publicamente, hospedadas no GitHub ou em outras plataformas de código aberto, para obter acesso inicial de maneira oportunista. Ao se firmarem, os agentes da ameaça estabelecem persistência implantando web shells para acionar uma cadeia de carregamento lateral de DLL envolvendo "SystemSettings.exe" (CVE-2021-27076) para entregar SharkLoader ("SystemSettings.dll").
Um segundo método usado pelo StrikeShark para distribuir o carregador é por meio de executáveis dropper personalizados, disfarçados de instaladores de software legítimos ou aplicativos como Google Update e Cisco AnyConnect, e executar o carregador de malware assim que o processo de instalação for concluído. O método pelo qual esses conta-gotas são administrados é atualmente desconhecido.
“Além das iscas com tema de instalação, vários droppers do SharkLoader usam documentos PDF falsos para persuadir as vítimas a abrir o arquivo malicioso”, explicou Kaspersky. “No entanto, nem todas as amostras empregam esta técnica, já que alguns conta-gotas funcionam apenas como um mecanismo de entrega para o SharkLoader, sem apresentar qualquer conteúdo de isca.”
Depois que a DLL é carregada, o SharkLoader implementa o que é chamado de Perfect DLL Hijacking, uma técnica detalhada pelo pesquisador de segurança Elliot Killick em outubro de 2023, para executar código malicioso enquanto contorna o Windows Loader Lock, um bloqueio de todo o sistema mantido pelo sistema operacional ao carregar e descarregar DLLs.
Especificamente, ele foi projetado para descriptografar e carregar "DscCoreR.mui", que é então usado para descompactar e carregar o Cobalt Strike em um novo thread criado em estado suspenso, junto com dois outros componentes -
SyncRes.dat, que instala vários ganchos de API do Windows usando a biblioteca Microsoft Detours para monitorar exceções geradas durante o tempo de execução.
MinHook DLL, que instala ganchos de API para as funções VirtualAlloc e Sleep para copiar o Cobalt Strike Beacon descompactado na região de memória alocada usando VirtualAlloc. O gancho relacionado ao Sleep é acionado quando o Beacon chama o Sleep, provavelmente em uma tentativa de evitar técnicas de varredura de memória que identificam regiões de código executável (RWX) na memória.
“Finalmente, depois que os ganchos da API são instalados e o shellcode do Cobalt Strike Beacon foi gravado no buffer do thread, o malware chama a API ResumeThread para retomar o thread suspenso e iniciar a execução do beacon”, explicou Kaspersky.
Embora o SharkLoader não venha com mecanismos de persistência integrados, descobriu-se que o agente da ameaça aproveita as chaves de execução do registro e as tarefas agendadas como uma forma de ativar o lançamento de "SystemSettings.exe" quando um usuário faz login ou mesmo se nenhum usuário estiver conectado.
Os ataques também envolvem uma extensa fase de reconhecimento após comprometimento e persistência iniciais, com o ator da ameaça engajado em Active Dir
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #malware #sharkloader #implanta #cobalt #strike #em #ataques #cibernéticos #strikeshark
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário