Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

New SharkLoader Malware Deploys Cobalt Strike in StrikeShark Cyberattacks

1 minute de lecture

Mis à jour :

Analyse de la campagne StrikeShark et du malware SharkLoader

La campagne « StrikeShark » cible divers secteurs (gouvernements, diplomatie, développement logiciel) à l’échelle mondiale. Les attaquants utilisent SharkLoader, un malware non documenté, pour injecter des beacons Cobalt Strike dans les systèmes compromis. Bien qu’aucune attribution formelle ne soit établie, l’utilisation d’outils comme FScan et Pillager suggère une origine chinoise.

Points clés

  • Vecteurs d’accès : Exploitation opportuniste de vulnérabilités critiques sur des serveurs exposés (Exchange, Openfire, GeoServer) et usage de droppers déguisés en logiciels légitimes (Google Update, Cisco AnyConnect).
  • Technique d’infection : Utilisation du « Perfect DLL Hijacking » pour contourner le verrouillage du chargeur Windows (Loader Lock) et décrypter Cobalt Strike en mémoire.
  • Évasion : Mise en place de hooks API (via Microsoft Detours et MinHook) pour masquer l’exécution et éviter la détection par analyse mémoire des segments RWX.
  • Objectifs : Activités typiques d’espionnage cyber, incluant l’énumération Active Directory, le vol d’identifiants (LSASS/NTDS) et la reconnaissance réseau.

Vulnérabilités exploitées (CVE)

Les attaquants exploitent une large gamme de failles connues pour obtenir un accès initial :

  • Exchange Server : CVE-2021-26855, CVE-2021-27076, CVE-2022-41082 (ProxyNotShell).
  • Openfire : CVE-2023-32315.
  • GeoServer : CVE-2024-36401.
  • Autres : CVE-2016-4437 (Apache Shiro), CVE-2021-36260 (Hikvision), CVE-2022-27925 (Zimbra), CVE-2023-46747 (F5 BIG-IP), CVE-2024-21762 & CVE-2022-40684 (Fortinet), CVE-2025-55182 (React), CVE-2023-20198 (Cisco IOS XE).

Recommandations

  • Gestion des correctifs : Appliquer prioritairement les patchs de sécurité pour les applications serveurs exposées sur Internet.
  • Surveillance : Auditer les entrées suspectes dans les clés de registre Run et les tâches planifiées, souvent utilisées pour la persistance.
  • Détection : Surveiller les comportements anormaux liés au chargement de DLLs et à l’injection mémoire, notamment les appels système vers VirtualAlloc et ResumeThread provenant de processus légitimes.
  • Sécurité des terminaux : Restreindre l’exécution de logiciels non signés et renforcer la surveillance des outils de ligne de commande (type FScan/Pillager) dans les environnements critiques.

Source

Vous pourriez aimer