SOC Prime Bias: Alto

02 Jul 2026 06:46 UTC

Campanha StrikeShark Distribui Cobalt Strike Através do SharkLoader

Author Photo
SOC Prime Team linkedin icon Seguir
Campanha StrikeShark Distribui Cobalt Strike Através do SharkLoader
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

StrikeShark é uma campanha de ameaça recém-identificada que usa um carregador de malware customizado chamado SharkLoader para entregar Cobalt Strike Beacons. A operação depende de múltiplos métodos de acesso inicial, incluindo a exploração de aplicações expostas à internet e entrega baseada em dropper. O malware também utiliza técnicas avançadas de evasão, como carregamento de DLL e manipulação de API para escapar das defesas de segurança.

Investigação

A investigação identificou infecções por SharkLoader em vários países e setores industriais, incluindo entidades diplomáticas e organizações de desenvolvimento de software. Pesquisadores rastrearam toda a cadeia de intrusão, desde a exploração de falhas como o ProxyLogon até a execução da carga final do Cobalt Strike. O estudo também descreveu o uso técnico da “Perfect DLL Hijacking” e manipulação sofisticada de API projetada para reduzir a detecção.

Mitigação

As organizações devem priorizar a aplicação de patches em sistemas expostos à internet, especialmente Microsoft Exchange, SharePoint e dispositivos de rede expostos. Implantar capacidades fortes de detecção e resposta em endpoints pode ajudar a descobrir carregamentos suspeitos de DLL e criação de tarefas agendadas não autorizadas. As equipes de segurança devem também monitorar relações anormais de processos pai-filho, como svchost.exe iniciando processos inesperados.

Resposta

Se esta atividade for detectada, isole imediatamente os sistemas afetados para interromper o movimento lateral adicional e tráfego de comando e controle. Conduza uma investigação forense completa para determinar o ponto inicial de acesso e o escopo total do comprometimento. Redefina as credenciais de todas as contas potencialmente afetadas, especialmente usuários privilegiados, e revise o Active Directory para mudanças não autorizadas ou novos grupos atribuídos.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Base de Referência deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e buscar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos equivocados.

  • Narrativa do Ataque & Comandos: O adversário visa estabelecer um ponto de apoio usando os métodos característicos da campanha SharkLoader. Primeiro, o atacante simula o byproduct do carregamento lateral de DLL lançando uma versão renomeada de um binário legítimo como SystemSettings.exe. Uma vez que o processo está em execução, o atacante tenta ganhar consciência situacional enumerando o ambiente de domínio. Para imitar o TTP observado, o atacante usa PowerShell para consultar o Active Directory para objetos de usuários e computadores, o que é um passo comum durante a fase de reconhecimento de um comprometimento de domínio.

  • Script de Teste de Regressão:

    # Script de Simulação para Detecção de SharkLoader & Enumeração AD
    
    Write-Host "[*] Iniciando Simulação..." -ForegroundColor Cyan
    
    # 1. Simular Execução de Processo SharkLoader via SystemSettings.exe
    # Usamos notepad.exe como proxy para simular o comportamento do binário carregado lateralmente
    Start-Process "notepad.exe" -ArgumentList "/c "This is a simulated SystemSettings.exe"" -WindowStyle Hidden
    # Nota: Em um ambiente real, o arquivo em si seria nomeado SystemSettings.exe. 
    # Para este teste, simulamos a criação da entrada do processo.
    
    # 2. Simular Enumeração Maliciosa do Active Directory
    Write-Host "[*] Simulando Enumeração AD..." -ForegroundColor Yellow
    # Usando cmdlets padrão que a regra especifica procurar
    Get-ADUser -Filter * | Select-Object -First 5
    Get-ADComputer -Filter * | Select-Object -First 5
    Get-ADGroup -Filter * | Select-Object -First 5
    
    Write-Host "[+] Comandos de Simulação Executados." -ForegroundColor Green
  • Comandos de Limpeza:

    # Script de Limpeza para garantir que não restem processos residuais
    Stop-Process -Name "notepad" -ErrorAction SilentlyContinue
    Write-Host "[*] Limpeza Completa." -ForegroundColor Cyan