SOC Prime Bias: Élevé

02 Jul 2026 06:46 UTC

La campagne StrikeShark déploie Cobalt Strike via SharkLoader

Author Photo
SOC Prime Team linkedin icon Suivre
La campagne StrikeShark déploie Cobalt Strike via SharkLoader
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

StrikeShark est une campagne de menace nouvellement identifiée qui utilise un chargeur de logiciels malveillants personnalisé appelé SharkLoader pour livrer des balises Cobalt Strike. L’opération repose sur plusieurs méthodes d’accès initial, y compris l’exploitation d’applications exposées à Internet et la livraison basée sur des chargeurs. Le logiciel malveillant utilise également des techniques d’évasion avancées telles que le chargement de DLL et l’accrochage d’API pour déjouer les défenses de sécurité.

Enquête

L’enquête a identifié des infections par SharkLoader dans plusieurs pays et secteurs industriels, y compris des entités diplomatiques et des organisations de développement de logiciels. Les chercheurs ont retracé toute la chaîne d’intrusion, de l’exploitation de failles comme ProxyLogon à l’exécution de la charge utile finale Cobalt Strike. L’étude a également décrit l’utilisation technique du « détournement parfait de DLL » et l’accrochage sophistiqué d’API conçu pour réduire la détection.

Atténuation

Les organisations doivent prioriser les correctifs des systèmes exposés à Internet, notamment Microsoft Exchange, SharePoint et les appareils réseau exposés. Le déploiement de capacités solides de détection et de réponse des points d’extrémité peut aider à découvrir le chargement de DLL suspect et la création de tâches planifiées non autorisées. Les équipes de sécurité devraient également surveiller les relations de processus parent-enfant anormales, telles que svchost.exe lançant des processus inattendus.

Réponse

Si cette activité est détectée, isolez immédiatement les systèmes affectés pour stopper toute progression latérale et le trafic de commande et de contrôle. Menez une enquête judiciaire complète pour déterminer le point d’accès initial et l’étendue générale de la compromission. Réinitialisez les identifiants de tous les comptes potentiellement affectés, en particulier les utilisateurs privilégiés, et examinez Active Directory pour y repérer des changements non autorisés ou de nouvelles appartenances à des groupes.

Flux d’attaque

Exécution de Simulation

Prérequis : La Vérification Préliminaire de Télémetrie & Base doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémetrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Narratif et Commandes de l’Attaque : L’adversaire vise à établir un point d’ancrage en utilisant les méthodes signatures de la campagne SharkLoader. D’abord, l’attaquant simule le sous-produit du chargement de DLL en lançant une version renommée d’un binaire légitime sous SystemSettings.exe. Une fois le processus en cours d’exécution, l’attaquant essaie d’obtenir une connaissance situationnelle en énumérant l’environnement de domaine. Pour imiter le TTP observé, l’attaquant utilise PowerShell pour interroger Active Directory pour les objets utilisateur et ordinateur, ce qui est une étape courante pendant la phase de reconnaissance d’une compromission de domaine.

  • Script de Test de Régression :

    # Script de Simulation pour la Détection de SharkLoader & Énumération AD
    
    Write-Host "[*] Début de la Simulation..." -ForegroundColor Cyan
    
    # 1. Simuler l'Exécution du Processus SharkLoader via SystemSettings.exe
    # Nous utilisons notepad.exe comme proxy pour simuler le comportement du binaire non chargé
    Start-Process "notepad.exe" -ArgumentList "/c "Ceci est un SystemSettings.exe simulé"" -WindowStyle Hidden
    # Remarque : Dans un environnement réel, le fichier lui-même serait nommé SystemSettings.exe.
    # Pour ce test, nous simulons la création de l'entrée processus.
    
    # 2. Simuler l'Énumération Malveillante d'Active Directory
    Write-Host "[*] Simulation de l'Énumération AD..." -ForegroundColor Yellow
    # Utilisation de cmdlets standard que la règle cherche spécifiquement
    Get-ADUser -Filter * | Select-Object -First 5
    Get-ADComputer -Filter * | Select-Object -First 5
    Get-ADGroup -Filter * | Select-Object -First 5
    
    Write-Host "[+] Commandes de Simulation Exécutées." -ForegroundColor Green
  • Commandes de Nettoyage :

    # Script de nettoyage pour s'assurer qu'aucun processus résiduel ne subsiste
    Stop-Process -Name "notepad" -ErrorAction SilentlyContinue
    Write-Host "[*] Nettoyage Terminé." -ForegroundColor Cyan