SOC Prime Bias: Alto

02 Jul 2026 06:46 UTC

La campaña StrikeShark entrega Cobalt Strike a través de SharkLoader

Author Photo
SOC Prime Team linkedin icon Seguir
La campaña StrikeShark entrega Cobalt Strike a través de SharkLoader
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

StrikeShark es una campaña de amenazas recientemente identificada que utiliza un cargador de malware personalizado llamado SharkLoader para entregar Cobalt Strike Beacons. La operación se basa en múltiples métodos de acceso inicial, incluyendo la explotación de aplicaciones expuestas a internet y la entrega basada en droppers. El malware también utiliza técnicas avanzadas de evasión, como la carga lateral de DLL y el enganche de API para evadir las defensas de seguridad.

Investigación

La investigación identificó infecciones de SharkLoader en varios países y sectores industriales, incluyendo entidades diplomáticas y organizaciones de desarrollo de software. Los investigadores rastrearon toda la cadena de intrusión, desde la explotación de fallas como ProxyLogon hasta la ejecución de la carga útil final de Cobalt Strike. El estudio también describió el uso técnico de «Perfect DLL Hijacking» y el sofisticado enganche de API diseñado para reducir la detección.

Mitigación

Las organizaciones deben priorizar el parcheo de sistemas expuestos a internet, especialmente Microsoft Exchange, SharePoint y dispositivos de red expuestos. Desplegar capacidades robustas de detección y respuesta en el endpoint puede ayudar a descubrir la carga lateral sospechosa de DLL y la creación no autorizada de tareas programadas. Los equipos de seguridad también deben monitorear relaciones de procesos padre-hijo anormales, como svchost.exe lanzando procesos inesperados.

Respuesta

Si se detecta esta actividad, aísle los sistemas afectados de inmediato para detener el movimiento lateral y el tráfico de comando y control. Realice una investigación forense completa para determinar el punto de acceso inicial y el alcance general del compromiso. Restablezca las credenciales de todas las cuentas potencialmente afectadas, especialmente los usuarios con privilegios, y revise Active Directory para detectar cambios no autorizados o nuevas membresías en grupos asignadas.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: El Control Preliminar de Telemetría y Línea Base debe haberse aprobado.

Rationale: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y deben generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos: El adversario busca establecer un punto de apoyo utilizando los métodos característicos de la campaña SharkLoader. Primero, el atacante simula el subproducto de la carga lateral de DLL iniciando una versión renombrada de un binario legítimo como SystemSettings.exe. Una vez que el proceso está en ejecución, el atacante intenta obtener conocimiento situacional enumerando el entorno de dominio. Para imitar el observado TTP, el atacante utiliza PowerShell para consultar Active Directory por objetos de usuario y computadora, lo cual es un paso común durante la fase de reconocimiento de un compromiso de dominio.

  • Guión de Prueba de Regresión:

    # Script de Simulación para la Detección de SharkLoader y Enumeración de AD
    
    Write-Host "[*] Comenzando Simulación..." -ForegroundColor Cyan
    
    # 1. Simular Ejecución de Proceso SharkLoader a través de SystemSettings.exe
    # Usamos notepad.exe como proxy para simular el comportamiento del binario cargado lateralmente
    Start-Process "notepad.exe" -ArgumentList "/c "Esto es un SystemSettings.exe simulado"" -WindowStyle Hidden
    # Nota: En un entorno real, el archivo se nombraría SystemSettings.exe. 
    # Para esta prueba, simulamos la creación de la entrada de proceso.
    
    # 2. Simular Enumeración Maliciosa de Active Directory
    Write-Host "[*] Simulando Enumeración de AD..." -ForegroundColor Yellow
    # Usando cmdlets estándar que la regla busca específicamente
    Get-ADUser -Filter * | Select-Object -First 5
    Get-ADComputer -Filter * | Select-Object -First 5
    Get-ADGroup -Filter * | Select-Object -First 5
    
    Write-Host "[+] Comandos de Simulación Ejecutados." -ForegroundColor Green
  • Comandos de Limpieza:

    # Script de limpieza para asegurar que no queden procesos residuales
    Stop-Process -Name "notepad" -ErrorAction SilentlyContinue
    Write-Host "[*] Limpieza Completa." -ForegroundColor Cyan