Новая кампания StrikeShark использует уязвимости Exchange и SharePoint для скрытого внедрения Cobalt Strike

Эксперты Kaspersky GReAT зафиксировали новую вредоносную кампанию StrikeShark, нацеленную на организации в Азии, Латинской Америке и Европе. Злоумышленники внедрили ранее неизвестный загрузчик SharkLoader, который маскируется под легитимное ПО и использует уязвимости в Microsoft Exchange, SharePoint и Openfire. Атака демонстрирует переход к гибридным методам: сочетание массовых инструментов с индивидуальным вредоносным кодом для обхода защиты и внедрения Cobalt Strike Beacon.

Важный нюанс: Использование легитимных инструментов для тестирования на проникновение в качестве финальной стадии атаки усложняет выявление инцидента, так как трафик выглядит как штатная активность системного администратора.

Механика атаки и векторы заражения

Кампания StrikeShark строится на многоэтапном процессе, требующем высокой квалификации исполнителей. Первичный доступ к системам жертв осуществляется через эксплуатацию уязвимостей в интернет-приложениях или социальную инженерию.

Основные векторы проникновения:

• Эксплуатация уязвимостей в Microsoft Exchange, Microsoft SharePoint и Openfire.
• Распространение дропперов, замаскированных под установщики Google Update и Cisco AnyConnect.
• Фишинговые рассылки с вредоносными PDF-документами.

После установки начального модуля злоумышленники применяют технику боковой загрузки DLL-файлов через легитимные приложения Windows. Это позволяет расшифровывать и загружать дополнительные компоненты, которые внедряют API-хуки для обхода механизмов обнаружения. Финальной целью становится запуск Cobalt Strike Beacon — инструмента для управления зараженными системами, разведки и кражи данных.

География и масштаб инцидента

Атаки зафиксированы в ряде стран, что указывает на глобальный характер кампании. В зоне поражения оказались организации на Тайване, в Индонезии, Гонконге, Ливане, Сирии, Колумбии, Северной Македонии, Непале и Сербии. На текущий момент Kaspersky GReAT не связывает активность с известными группировками, продолжая мониторинг.

Стоит учесть: Отсутствие связи с известными группировками может означать как появление нового игрока на рынке киберпреступности, так и использование наемных специалистов, которые меняют инструменты и тактики для скрытия следов.

Рекомендации по защите инфраструктуры

Для минимизации рисков бизнесу необходимо пересмотреть подход к управлению уязвимостями и обучению персонала. Эксперты рекомендуют комплекс мер, направленных на предотвращение первичного заражения и блокировку бокового перемещения в сети.

Ключевые шаги для снижения уязвимости:

• Регулярное обновление всех приложений для устранения известных уязвимостей.
• Внедрение решений для обнаружения и блокировки дропперов вредоносного ПО.
• Проведение обучения сотрудников цифровой грамотности для противодействия фишингу и социальной инженерии.
• Использование платформ многоуровневой кибербезопасности, таких как Kaspersky Symphony XDR, для централизованного мониторинга и реагирования.

На фоне этого: Смещение фокуса злоумышленников на использование легитимных инструментов (Cobalt Strike Beacon) требует от организаций перехода от простой антивирусной защиты к продвинутому анализу поведения систем и сетевого трафика.

Сигнал для рынка

Кампания StrikeShark подтверждает тренд на усложнение кибератак и использование «серых» методов, когда вредоносный код прячется за легитимными процессами. Для российского бизнеса это сигнал к перепроверке актуальности патчей на серверах Microsoft и Openfire, а также к усилению контроля за загрузкой сторонних библиотек. Глобальное распространение атак повышает вероятность их появления в РФ, даже если текущие данные касаются других регионов.

Важно: Рост сложности атак делает недостаточным использование только базовых средств защиты; критическим фактором становится скорость реакции на аномалии в поведении легитимных программ.