SharkLoader

SharkLoader؛ بدافزار جدید مورد استفاده در کمپین سایبری StrikeShark

فهرست مطالب

شرکت Kaspersky از شناسایی یک کمپین حملات سایبری جدید خبر داده است. که از خانواده‌ای ناشناخته از بدافزارها با نام SharkLoader  استفاده می‌کند. این بدافزار به‌عنوان یک Loader (بارگذار) عمل کرده و برای استقرار Cobalt Strike Beacon روی سیستم‌های آلوده مورد استفاده قرار می‌گیرد.

بر اساس گزارش Kaspersky، این بدافزار سازمان‌های مختلفی از جمله یک سازمان دیپلماتیک در اندونزی، سازمان‌های دولتی در تایوان، شرکت‌های توسعه نرم‌افزار در چندین کشور و همچنین نهادهایی در بخش‌های مختلف واقع در هنگ‌کنگ، لبنان، سوریه، کلمبیا، مقدونیه شمالی، نپال و صربستان هدف قرار داده است. با توجه به گفته این شرکت،  نوع قربانیان مشاهده‌شده نشان می‌دهد که این کمپین دارای دامنه جغرافیایی گسترده و مجموعه‌ای متنوع از اهداف است و برخلاف برخی حملات، بر یک صنعت یا منطقه خاص متمرکز نیست.

عامل تهدید

اگرچه تاکنون هیچ ارتباط مستقیمی میان این کمپین و هیچ گروه شناخته‌شده‌ای از عوامل تهدید مشاهده نشده است، اما مهاجمان از ابزارهای متن‌باز پس از نفوذ (Post-Compromise) مانند FScan و Pillager استفاده کرده‌اند؛ ابزارهایی که معمولاً توسط توسعه‌دهندگان چینی‌زبان به کار گرفته می‌شوند. بر همین اساس، پژوهشگران امنیتی احتمال می‌دهند این کمپین توسط یک عامل تهدید چینی‌زبان هدایت می‌شود.

زنجیره حمله و آسیب‌پذیری‌های مورد سوءاستفاده

این کمپین از دو مسیر اصلی برای دسترسی اولیه (Initial Access) استفاده می کنند. از آسیب‌ پذیری‌های شناخته شده Microsoft Exchange Server ، از جمله CVE-2021-26855 (معروف به ProxyLogon ) برای حمله به سازمان دیپلماتیک اندونزی و بهره‌برداری از آسیب‌پذیری Path Traversal در Openfire با شناسه CVE-2023-32315 برای نفوذ به شرکت‌های توسعه نرم‌افزار در تایوان، همچنین، یک آسیب‌پذیری بحرانی اجرای کد از راه دور (Remote Code Execution – RCE) در GeoServer با شناسه CVE-2024-36401 برای هدف قرار دادن یک سازمان در کلمبیا مورد استفاده قرار گرفته است.

علاوه بر این، مهاجمان از چندین آسیب‌پذیری دیگر مرتبط با اجرای کد از راه دور (RCE) و دور زدن احراز هویت   (Authentication Bypass) نیز بهره‌برداری کرده‌اند که عبارت‌اند از:

  • Apache Shiro: CVE-2016-4437
  • Hikvision Products: CVE-2021-36260
  • Microsoft SharePoint: CVE-2021-27076
  • Zimbra Collaboration Suite: CVE-2022-27925
  • Microsoft Exchange Server (ProxyNotShell): CVE-2022-41082
  • F5 BIG-IP: CVE-2023-46747
  • Fortinet FortiOS: CVE-2024-21762
  • React Server Components: CVE-2025-55182
  • Fortinet FortiOS: CVE-2022-40684
  • Cisco IOS XE Web UI: CVE-2023-20198

بر اساس ارزیابی پژوهشگران، مهاجمان به احتمال زیاد برای دستیابی به دسترسی اولیه از نمونه‌کدهای آماده بهره‌برداری(Proof-of-Concept یا PoC) که به‌صورت عمومی در GitHub و سایر پلتفرم‌های متن‌باز منتشر شده‌اند، استفاده می‌کنند. این موضوع نشان می‌دهد که حملات آن‌ها عمدتاً فرصت‌طلبانه (Opportunistic) بوده و سامانه‌های آسیب‌پذیر را بدون هدف‌گیری قبلی مورد حمله قرار می‌دهند.

پس از نفوذ موفق به سیستم، مهاجمان برای ایجاد ماندگاری (Persistence)، وب‌شل (Web Shell) را روی سرور قربانی مستقر می‌کنند. سپس با استفاده از تکنیک DLL Side-Loading و اجرای فایل SystemSettings.exe (در ارتباط با سوءاستفاده از CVE-2021-27076) بدافزار SharkLoader را در قالب فایل SystemSettings.dll روی سیستم قربانی بارگذاری و اجرا می‌کنند.

روش دوم توزیع SharkLoader و تکنیک Perfect DLL Hijacking

این بدافزار روش دومی که به کار می‌گیرد، استفاده از فایل‌های Dropper سفارشی است. این فایل‌ها خود را به‌عنوان نصب‌کننده‌های نرم‌افزارهای معتبر یا برنامه‌هایی مانند Google Update و Cisco AnyConnect معرفی می‌کنند و پس از پایان فرایند نصب، بدافزار SharkLoader را اجرا می‌کنند. با این حال، نحوه توزیع اولیه این فایل‌های Dropper تاکنون مشخص نشده است.نمونه‌ای از نصب‌کننده‌ی مخرب کلاینت امن سیسکو:

image

شرکت Kaspersky در این‌باره توضیح می‌دهد:

علاوه بر فایل‌های فریبنده‌ای که در قالب نصب‌کننده‌های نرم‌افزار ارائه می‌شوند، برخی از Dropperهای مربوط به SharkLoader از اسناد PDF جعلی (Decoy PDF) نیز برای ترغیب قربانیان به باز کردن فایل مخرب استفاده می‌کنند. با این حال، همه نمونه‌ها از این روش بهره نمی‌برند و برخی از Dropperها صرفاً به‌عنوان ابزاری برای انتقال و اجرای SharkLoader عمل می‌کنند، بدون آنکه هیچ محتوای فریبنده‌ای را به کاربر نمایش دهند.

پس از بارگذاری فایل DLL، بدافزار SharkLoader از تکنیکی به نام Perfect DLL Hijacking استفاده می‌کند. این روش که نخستین بار در اکتبر ۲۰۲۳ توسط پژوهشگر امنیتی Elliot Killick تشریح شد، به بدافزار اجازه می‌دهد کد مخرب خود را اجرا کند، در حالی که Windows Loader Lock را دور می‌زند.

Windows Loader Lock یک قفل سراسری در سیستم‌عامل ویندوز است که هنگام بارگذاری (Loading) و آزادسازی (Unloading) فایل‌های DLL فعال می‌شود تا از بروز تداخل و شرایط رقابتی (Race Condition) در فرایند مدیریت کتابخانه‌های پویا جلوگیری کند. تکنیک Perfect DLL Hijacking با دور زدن این مکانیزم حفاظتی، امکان اجرای کد مخرب را بدون ایجاد اختلال در فرایند بارگذاری DLLها فراهم می‌کند و شناسایی آن را برای راهکارهای امنیتی دشوارتر می‌سازد.

سازوکار بارگذاری Cobalt Strike توسط SharkLoader

پس از اجرا، SharkLoader  فایل DscCoreR.mui را رمزگشایی کرده و Cobalt Strike Beacon را از داخل آن استخراج می‌کند. سپس برای اجرای این ابزار، دو ماژول کمکی به نام‌های SyncRes.dat و MinHook.dll را بارگذاری می‌کند.ماژول SyncRes.dat با استفاده از کتابخانه Microsoft Detours، Hookهایی را روی توابع Windows API نصب می‌کند تا استثناهای (Exceptions) ایجادشده در زمان اجرا را مدیریت کرده و روند اجرای بدافزار را کنترل کند.

در ادامه، MinHook.dll با Hook کردن توابع VirtualAlloc و Sleep، کد استخراج‌شده Cobalt Strike Beacon را در حافظه بارگذاری می‌کند. Hook مربوط به تابع Sleep نیز با هدف کاهش احتمال شناسایی Beacon توسط راهکارهای امنیتی مبتنی بر اسکن حافظه طراحی شده است. این محصولات امنیتی معمولاً نواحی حافظه دارای مجوز خواندن، نوشتن و اجرا (RWX) را بررسی می‌کنند؛ زیرا چنین نواحی اغلب می‌توانند حاوی شِل‌کد یا کدهای مخرب باشند.

Kaspersky  در ادامه توضیح می‌دهد:

پس از نصب Hookهای مربوط به APIها و نوشتن شِل‌کد Cobalt Strike Beacon در بافر Thread، بدافزار با فراخوانی تابع ResumeThread API، Thread معلق را از سر گرفته و اجرای Beacon را آغاز می‌کند.

سازوکار ماندگاری (Persistence)

اگرچه SharkLoader به‌طور پیش‌فرض دارای مکانیزم ماندگاری (Persistence) نیست، اما مهاجمان برای حفظ دسترسی به سیستم آلوده از دو روش متداول استفاده می‌کنند:

  • ایجاد مقادیر در Registry Run Keys ویندوز
  • ایجاد Scheduled Tasks وظایف زمان‌بندی‌شده

این روش‌ها باعث می‌شوند فایل SystemSettings.exeبه‌صورت خودکار اجرا شود؛ چه هنگام ورود کاربر به سیستم (Logon) و چه در شرایطی که هیچ کاربری وارد سیستم نشده باشد.

مرحله شناسایی (Reconnaissance)

پس از نفوذ اولیه و ایجاد ماندگاری، مهاجمان مرحله گسترده‌ای از شناسایی (Reconnaissance) را آغاز می‌کنند. در این مرحله، فعالیت‌های زیر مشاهده شده است:

  • شناسایی ساختار Active Directory؛
  • سرقت اطلاعات اعتباری (Credential Theft) از طریق هدف قرار دادن فرآیند LSASS؛
  • استخراج اطلاعات از فایل پایگاه داده NTDS.dit که شامل اطلاعات حساب‌های دامنه ویندوز است؛
  • استفاده از ابزارهای متن‌باز FScan، Searchall و Pillager برای اسکن شبکه و جمع‌آوری اطلاعات.

اهداف احتمالی حمله

با توجه به اینکه تاکنون شواهدی از انتقال یا سرقت داده‌ها (Data Exfiltration) مشاهده نشده است، تعیین هدف نهایی کمپین StrikeShark هنوز با قطعیت امکان‌پذیر نیست.با این حال، هدف قرار گرفتن سازمان‌های دولتی و شرکت‌های توسعه نرم‌افزار نشان می‌دهد که این عملیات احتمالاً با اهداف جاسوسی سایبری (Cyber Espionage) انجام می‌شود و مهاجمان ممکن است به دنبال جمع‌آوری اطلاعات سیاسی حساس یا سرقت مالکیت فکری (Intellectual Property) باشند.

در عین حال، Kaspersky تأکید می‌کند که استفاده از SharkLoader و Cobalt Strike، در کنار سوءاستفاده از سرویس‌های در معرض اینترنت، نصب‌کننده‌های جعلی و فایل‌های Dropper، نشان می‌دهد مهاجمان به‌صورت فرصت‌طلبانه نیز سیستم‌های آسیب‌پذیر را هدف قرار می‌دهند.این شرکت همچنین هشدار می‌دهد که نبود شواهد قطعی از سرقت داده‌ها در مراحل فعلی حمله، به معنای عدم وقوع آن در آینده نیست؛ زیرا Cobalt Strike دارای قابلیت‌های داخلی برای مدیریت فایل‌ها و انتقال داده است و مهاجمان می‌توانند در مراحل بعدی عملیات از این قابلیت‌ها برای استخراج اطلاعات از شبکه قربانی استفاده کنند.

0 دیدگاه

دیدگاهتان را بنویسید

جای‌بان آواتار

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پانزده − سه =

ثبت سفارش آنتی‌ویروس سازمانی و دریافت مشاوره رایگان

سفارش آنتی‌ویروس سازمانی خود را ثبت نمایید. کارشناسان ما در اسرع وقت، درخواست شما را بررسی کرده و برای تکمیل فرآیند با شما تماس خواهند گرفت.