Malware SharkLoader Baru Menyebarkan Serangan Cobalt dalam Serangan Siber StrikeShark

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Sebuah kampanye serangan cyber yang baru ditemukan telah diamati mengirimkan keluarga malware yang sebelumnya tidak terdokumentasi bernama SharkLoader yang bertindak sebagai…

Sebuah kampanye serangan cyber yang baru ditemukan telah diamati mengirimkan keluarga malware yang sebelumnya tidak terdokumentasi bernama SharkLoader yang bertindak sebagai pemuat untuk menyebarkan Cobalt Strike Beacon pada host yang disusupi.

“Viktimologi yang diamati menunjukkan kampanye dengan jangkauan geografis yang luas dan target yang beragam, bukan fokus sempit pada industri atau wilayah tertentu,” kata vendor keamanan siber Rusia tersebut.

Pelaku ancaman dinilai kemungkinan besar menggunakan eksploitasi bukti konsep (PoC) yang tersedia secara publik dan dihosting di GitHub atau platform sumber terbuka lainnya untuk mendapatkan akses awal dengan cara yang oportunistik. Setelah mendapatkan pijakan, pelaku ancaman membangun persistensi dengan menyebarkan web shell untuk memicu rantai pemuatan samping DLL yang melibatkan " SystemSettings. exe " (CVE-2021-27076) untuk mengirimkan SharkLoader ("SystemSettings. dll").

Metode kedua yang digunakan StrikeShark untuk mendistribusikan pemuat adalah melalui executable dropper khusus yang menyamar sebagai penginstal perangkat lunak atau aplikasi sah seperti Google pembaruan dan Cisco AnyConnect, dan mengeksekusi pemuat malware setelah proses instalasi selesai. Metode pengiriman dropper ini saat ini tidak diketahui.

“Terakhir, setelah API hooks diinstal dan shellcode Cobalt Strike Beacon telah ditulis ke buffer thread, malware memanggil ResumeThread API untuk melanjutkan thread yang ditangguhkan dan memulai eksekusi beacon,” jelas Kaspersky.

“Pada saat yang sama, penggunaan SharkLoader dan Cobalt Strike, bersamaan dengan eksploitasi aplikasi publik serta installer dan dropper berbahaya, menunjukkan bahwa penyerang mungkin juga secara oportunis menargetkan sistem yang rentan,” kata Kaspersky. “Tidak adanya bukti jelas mengenai eksfiltrasi data sejauh ini tidak mengesampingkan kemungkinan ini, karena operasi file dan modul eksfiltrasi data Cobalt Strike dapat digunakan pada tahap selanjutnya.”

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com