شرکت Kaspersky از شناسایی یک کمپین حملات سایبری جدید خبر داده است. که از خانوادهای ناشناخته از بدافزارها با نام SharkLoader استفاده میکند. این بدافزار بهعنوان یک Loader (بارگذار) عمل کرده و برای استقرار Cobalt Strike Beacon روی سیستمهای آلوده مورد استفاده قرار میگیرد.
بر اساس گزارش Kaspersky، این بدافزار سازمانهای مختلفی از جمله یک سازمان دیپلماتیک در اندونزی، سازمانهای دولتی در تایوان، شرکتهای توسعه نرمافزار در چندین کشور و همچنین نهادهایی در بخشهای مختلف واقع در هنگکنگ، لبنان، سوریه، کلمبیا، مقدونیه شمالی، نپال و صربستان هدف قرار داده است. با توجه به گفته این شرکت، نوع قربانیان مشاهدهشده نشان میدهد که این کمپین دارای دامنه جغرافیایی گسترده و مجموعهای متنوع از اهداف است و برخلاف برخی حملات، بر یک صنعت یا منطقه خاص متمرکز نیست.
عامل تهدید
اگرچه تاکنون هیچ ارتباط مستقیمی میان این کمپین و هیچ گروه شناختهشدهای از عوامل تهدید مشاهده نشده است، اما مهاجمان از ابزارهای متنباز پس از نفوذ (Post-Compromise) مانند FScan و Pillager استفاده کردهاند؛ ابزارهایی که معمولاً توسط توسعهدهندگان چینیزبان به کار گرفته میشوند. بر همین اساس، پژوهشگران امنیتی احتمال میدهند این کمپین توسط یک عامل تهدید چینیزبان هدایت میشود.
زنجیره حمله و آسیبپذیریهای مورد سوءاستفاده
این کمپین از دو مسیر اصلی برای دسترسی اولیه (Initial Access) استفاده می کنند. از آسیب پذیریهای شناخته شده Microsoft Exchange Server ، از جمله CVE-2021-26855 (معروف به ProxyLogon ) برای حمله به سازمان دیپلماتیک اندونزی و بهرهبرداری از آسیبپذیری Path Traversal در Openfire با شناسه CVE-2023-32315 برای نفوذ به شرکتهای توسعه نرمافزار در تایوان، همچنین، یک آسیبپذیری بحرانی اجرای کد از راه دور (Remote Code Execution – RCE) در GeoServer با شناسه CVE-2024-36401 برای هدف قرار دادن یک سازمان در کلمبیا مورد استفاده قرار گرفته است.
علاوه بر این، مهاجمان از چندین آسیبپذیری دیگر مرتبط با اجرای کد از راه دور (RCE) و دور زدن احراز هویت (Authentication Bypass) نیز بهرهبرداری کردهاند که عبارتاند از:
- Apache Shiro: CVE-2016-4437
- Hikvision Products: CVE-2021-36260
- Microsoft SharePoint: CVE-2021-27076
- Zimbra Collaboration Suite: CVE-2022-27925
- Microsoft Exchange Server (ProxyNotShell): CVE-2022-41082
- F5 BIG-IP: CVE-2023-46747
- Fortinet FortiOS: CVE-2024-21762
- React Server Components: CVE-2025-55182
- Fortinet FortiOS: CVE-2022-40684
- Cisco IOS XE Web UI: CVE-2023-20198
بر اساس ارزیابی پژوهشگران، مهاجمان به احتمال زیاد برای دستیابی به دسترسی اولیه از نمونهکدهای آماده بهرهبرداری(Proof-of-Concept یا PoC) که بهصورت عمومی در GitHub و سایر پلتفرمهای متنباز منتشر شدهاند، استفاده میکنند. این موضوع نشان میدهد که حملات آنها عمدتاً فرصتطلبانه (Opportunistic) بوده و سامانههای آسیبپذیر را بدون هدفگیری قبلی مورد حمله قرار میدهند.
پس از نفوذ موفق به سیستم، مهاجمان برای ایجاد ماندگاری (Persistence)، وبشل (Web Shell) را روی سرور قربانی مستقر میکنند. سپس با استفاده از تکنیک DLL Side-Loading و اجرای فایل SystemSettings.exe (در ارتباط با سوءاستفاده از CVE-2021-27076) بدافزار SharkLoader را در قالب فایل SystemSettings.dll روی سیستم قربانی بارگذاری و اجرا میکنند.
روش دوم توزیع SharkLoader و تکنیک Perfect DLL Hijacking
این بدافزار روش دومی که به کار میگیرد، استفاده از فایلهای Dropper سفارشی است. این فایلها خود را بهعنوان نصبکنندههای نرمافزارهای معتبر یا برنامههایی مانند Google Update و Cisco AnyConnect معرفی میکنند و پس از پایان فرایند نصب، بدافزار SharkLoader را اجرا میکنند. با این حال، نحوه توزیع اولیه این فایلهای Dropper تاکنون مشخص نشده است.نمونهای از نصبکنندهی مخرب کلاینت امن سیسکو:

شرکت Kaspersky در اینباره توضیح میدهد:
علاوه بر فایلهای فریبندهای که در قالب نصبکنندههای نرمافزار ارائه میشوند، برخی از Dropperهای مربوط به SharkLoader از اسناد PDF جعلی (Decoy PDF) نیز برای ترغیب قربانیان به باز کردن فایل مخرب استفاده میکنند. با این حال، همه نمونهها از این روش بهره نمیبرند و برخی از Dropperها صرفاً بهعنوان ابزاری برای انتقال و اجرای SharkLoader عمل میکنند، بدون آنکه هیچ محتوای فریبندهای را به کاربر نمایش دهند.
پس از بارگذاری فایل DLL، بدافزار SharkLoader از تکنیکی به نام Perfect DLL Hijacking استفاده میکند. این روش که نخستین بار در اکتبر ۲۰۲۳ توسط پژوهشگر امنیتی Elliot Killick تشریح شد، به بدافزار اجازه میدهد کد مخرب خود را اجرا کند، در حالی که Windows Loader Lock را دور میزند.
Windows Loader Lock یک قفل سراسری در سیستمعامل ویندوز است که هنگام بارگذاری (Loading) و آزادسازی (Unloading) فایلهای DLL فعال میشود تا از بروز تداخل و شرایط رقابتی (Race Condition) در فرایند مدیریت کتابخانههای پویا جلوگیری کند. تکنیک Perfect DLL Hijacking با دور زدن این مکانیزم حفاظتی، امکان اجرای کد مخرب را بدون ایجاد اختلال در فرایند بارگذاری DLLها فراهم میکند و شناسایی آن را برای راهکارهای امنیتی دشوارتر میسازد.
سازوکار بارگذاری Cobalt Strike توسط SharkLoader
پس از اجرا، SharkLoader فایل DscCoreR.mui را رمزگشایی کرده و Cobalt Strike Beacon را از داخل آن استخراج میکند. سپس برای اجرای این ابزار، دو ماژول کمکی به نامهای SyncRes.dat و MinHook.dll را بارگذاری میکند.ماژول SyncRes.dat با استفاده از کتابخانه Microsoft Detours، Hookهایی را روی توابع Windows API نصب میکند تا استثناهای (Exceptions) ایجادشده در زمان اجرا را مدیریت کرده و روند اجرای بدافزار را کنترل کند.
در ادامه، MinHook.dll با Hook کردن توابع VirtualAlloc و Sleep، کد استخراجشده Cobalt Strike Beacon را در حافظه بارگذاری میکند. Hook مربوط به تابع Sleep نیز با هدف کاهش احتمال شناسایی Beacon توسط راهکارهای امنیتی مبتنی بر اسکن حافظه طراحی شده است. این محصولات امنیتی معمولاً نواحی حافظه دارای مجوز خواندن، نوشتن و اجرا (RWX) را بررسی میکنند؛ زیرا چنین نواحی اغلب میتوانند حاوی شِلکد یا کدهای مخرب باشند.
Kaspersky در ادامه توضیح میدهد:
پس از نصب Hookهای مربوط به APIها و نوشتن شِلکد Cobalt Strike Beacon در بافر Thread، بدافزار با فراخوانی تابع ResumeThread API، Thread معلق را از سر گرفته و اجرای Beacon را آغاز میکند.
سازوکار ماندگاری (Persistence)
اگرچه SharkLoader بهطور پیشفرض دارای مکانیزم ماندگاری (Persistence) نیست، اما مهاجمان برای حفظ دسترسی به سیستم آلوده از دو روش متداول استفاده میکنند:
- ایجاد مقادیر در Registry Run Keys ویندوز
- ایجاد Scheduled Tasks وظایف زمانبندیشده
این روشها باعث میشوند فایل SystemSettings.exeبهصورت خودکار اجرا شود؛ چه هنگام ورود کاربر به سیستم (Logon) و چه در شرایطی که هیچ کاربری وارد سیستم نشده باشد.
مرحله شناسایی (Reconnaissance)
پس از نفوذ اولیه و ایجاد ماندگاری، مهاجمان مرحله گستردهای از شناسایی (Reconnaissance) را آغاز میکنند. در این مرحله، فعالیتهای زیر مشاهده شده است:
- شناسایی ساختار Active Directory؛
- سرقت اطلاعات اعتباری (Credential Theft) از طریق هدف قرار دادن فرآیند LSASS؛
- استخراج اطلاعات از فایل پایگاه داده NTDS.dit که شامل اطلاعات حسابهای دامنه ویندوز است؛
- استفاده از ابزارهای متنباز FScan، Searchall و Pillager برای اسکن شبکه و جمعآوری اطلاعات.
اهداف احتمالی حمله
با توجه به اینکه تاکنون شواهدی از انتقال یا سرقت دادهها (Data Exfiltration) مشاهده نشده است، تعیین هدف نهایی کمپین StrikeShark هنوز با قطعیت امکانپذیر نیست.با این حال، هدف قرار گرفتن سازمانهای دولتی و شرکتهای توسعه نرمافزار نشان میدهد که این عملیات احتمالاً با اهداف جاسوسی سایبری (Cyber Espionage) انجام میشود و مهاجمان ممکن است به دنبال جمعآوری اطلاعات سیاسی حساس یا سرقت مالکیت فکری (Intellectual Property) باشند.
در عین حال، Kaspersky تأکید میکند که استفاده از SharkLoader و Cobalt Strike، در کنار سوءاستفاده از سرویسهای در معرض اینترنت، نصبکنندههای جعلی و فایلهای Dropper، نشان میدهد مهاجمان بهصورت فرصتطلبانه نیز سیستمهای آسیبپذیر را هدف قرار میدهند.این شرکت همچنین هشدار میدهد که نبود شواهد قطعی از سرقت دادهها در مراحل فعلی حمله، به معنای عدم وقوع آن در آینده نیست؛ زیرا Cobalt Strike دارای قابلیتهای داخلی برای مدیریت فایلها و انتقال داده است و مهاجمان میتوانند در مراحل بعدی عملیات از این قابلیتها برای استخراج اطلاعات از شبکه قربانی استفاده کنند.


0 دیدگاه