SOC Prime Bias: Високий

02 Jul 2026 06:46 UTC

Кампанія StrikeShark доставляє Cobalt Strike через SharkLoader

Author Photo
SOC Prime Team linkedin icon Стежити
Кампанія StrikeShark доставляє Cobalt Strike через SharkLoader
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Підсумок

StrikeShark – це нова виявлена кампанія загроз, яка використовує спеціальний завантажувач шкідливого ПЗ під назвою SharkLoader для доставки маяків Cobalt Strike. Операція спирається на кілька методів початкового доступу, включаючи експлуатацію програм з виходом в інтернет та доставку на основі завантажувачів. Шкідливе ПЗ також використовує розвинені методи ухилення, такі як побічне завантаження DLL та підключення API, щоб уникнути захисних механізмів.

Розслідування

В ході розслідування було виявлено інфекції SharkLoader в декількох країнах і секторах промисловості, включаючи дипломатичні установи та організації з розробки програмного забезпечення. Дослідники простежили весь ланцюжок вторгнення, від експлуатації вразливостей, таких як ProxyLogon, до виконання кінцевого навантаження Cobalt Strike. Також описано технічне застосування «Perfect DLL Hijacking» і складне підключення API, призначене для зменшення виявлення.

Пом’якшення

Організації повинні пріоритетизувати виправлення систем з виходом в інтернет, особливо Microsoft Exchange, SharePoint та відкритих мережевих пристроїв. Впровадження потужних можливостей виявлення та реагування на кінцевих точках може допомогти виявити підозрілі побічні завантаження DLL та несанкціоноване створення запланованих завдань. Команди безпеки повинні також відстежувати аномальні батьківсько-дочірні процеси, як-то svchost.exe запускає несподівані процеси.

Реагування

Якщо виявлено цю активність, негайно ізолюйте уражені системи, щоб зупинити подальший латеральний рух та командно-контрольний трафік. Проведіть повне судово-медичне розслідування, щоб визначити початкову точку доступу та загальний обсяг компрометації. Скиньте облікові дані для всіх потенційно уражених облікових записів, особливо привілейованих користувачів, і перевірте Active Directory на несанкціоновані зміни або новопризначені членства в групах.

Потік атаки

Виявлення

Підозріла активність Ntdsutil (через командний рядок)

Команда SOC Prime
01 липня 2026

Можлива спроба перерахування користувачів/груп (через powershell)

Команда SOC Prime
01 липня 2026

Можливе перерахування або маніпуляція облікових записів або груп (через командний рядок)

Команда SOC Prime
01 липня 2026

Можливе виявлення конфігурації мережі системи (через командний рядок)

Команда SOC Prime
01 липня 2026

Можливе перерахування системи (через командний рядок)

Команда SOC Prime
01 липня 2026

Можливе перерахування служб (через командний рядок)

Команда SOC Prime
01 липня 2026

Підозріле заплановане завдання під системним користувачем (через командний рядок)

Команда SOC Prime
01 липня 2026

Можливі точки постійності [ASEPs – Hive Software/NTUSER] (через registry_event)

Команда SOC Prime
01 липня 2026

Виконання системних процесів з нетипових шляхів (через створення процесу)

Команда SOC Prime
01 липня 2026

Перерахування мережевих і системних даних у кампанії StrikeShark [Журнал безпеки Windows]

Правила AI SOC Prime
01 липня 2026

Виявлення використання SharkLoader’s SystemSettings.exe та перерахування Active Directory [Створення процесу в Windows]

Правила AI SOC Prime
01 липня 2026

Виконання симуляції

Передумова: Перевірка телеметрії та базова перевірка перед виконанням повинні бути пройдені.

Обґрунтування: У цьому розділі розглядається точне виконання техніки супротивника (TTP), призначене для активації правила виявлення. Команди та опис повинні безпосередньо відображати ідентифіковані TTP і мати на меті генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.

  • Опис атаки та команди: Супротивник має намір закріпитися, використовуючи методи підпису кампанії SharkLoader. Спочатку нападник імітує побічний продукт завантаження DLL, запустивши перейменовану версію легітимного виконуваного файлу як SystemSettings.exe. Як тільки процес запущено, нападник намагається отримати ситуаційну обізнаність, перераховуючи доменне середовище. Щоб імітувати спостережуваний TTP, нападник використовує PowerShell для запиту Active Directory на користувачів та комп’ютерні об’єкти, що є звичайним кроком під час розвідки доменного компрометування.

  • Скрипт тесту регресії:

    # Скрипт симуляції для виявлення SharkLoader та перерахування AD
    
    Write-Host "[*] Початок симуляції..." -ForegroundColor Cyan
    
    # 1. Імітація виконання процесу SharkLoader через SystemSettings.exe
    # Ми використовуємо notepad.exe як проксі для імітації поведінки завантаженого двійкового файлу
    Start-Process "notepad.exe" -ArgumentList "/c "Це імітований SystemSettings.exe"" -WindowStyle Hidden
    # Примітка: У реальному середовищі файл буде називатися SystemSettings.exe.
    # Для цього тесту ми імітуємо створення процесу.
    
    # 2. Імітація зловмисного перерахування служби Active Directory
    Write-Host "[*] Імітація перерахування AD..." -ForegroundColor Yellow
    # Використовуючи стандартні командлети, які саме шукає правило
    Get-ADUser -Filter * | Select-Object -First 5
    Get-ADComputer -Filter * | Select-Object -First 5
    Get-ADGroup -Filter * | Select-Object -First 5
    
    Write-Host "[+] Команди симуляції виконані." -ForegroundColor Green
  • Команди очищення:

    # Скрипт очищення для забезпечення відсутності залишкових процесів
    Stop-Process -Name "notepad" -ErrorAction SilentlyContinue
    Write-Host "[*] Очистка завершена." -ForegroundColor Cyan