SOC Prime Bias: Alto

02 Jul 2026 06:46 UTC

Campagna StrikeShark Consegna Cobalt Strike Tramite SharkLoader

Author Photo
SOC Prime Team linkedin icon Segui
Campagna StrikeShark Consegna Cobalt Strike Tramite SharkLoader
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

StrikeShark è una campagna di minacce recentemente identificata che utilizza un caricatore malware personalizzato chiamato SharkLoader per consegnare Cobalt Strike Beacons. L’operazione si basa su molteplici metodi di accesso iniziale, inclusa l’esploitazione di applicazioni accessibili da internet e la consegna basata su dropper. Il malware utilizza anche tecniche di evasione avanzate come il sideloading di DLL e l’hooking delle API per eludere le difese di sicurezza.

Investigazione

L’indagine ha identificato infezioni SharkLoader in diversi paesi e settori industriali, incluse entità diplomatiche e organizzazioni di sviluppo software. I ricercatori hanno tracciato l’intera catena di intrusione, dall’esploitazione di vulnerabilità come ProxyLogon all’esecuzione del payload finale di Cobalt Strike. Lo studio ha anche descritto l’uso tecnico del “Perfect DLL Hijacking” e sofisticati hooking delle API progettati per ridurre la rilevazione.

Mitigazione

Le organizzazioni dovrebbero dare priorità all’aggiornamento dei sistemi accessibili da internet, in particolare Microsoft Exchange, SharePoint e dispositivi di rete esposti. L’implementazione di forti capacità di rilevamento e risposta degli endpoint può aiutare a scoprire sideloading sospetti di DLL e la creazione non autorizzata di task pianificati. I team di sicurezza dovrebbero anche monitorare relazioni anomale tra processi genitore-figlio, come svchost.exe che lancia processi inaspettati.

Risposta

Se viene rilevata questa attività, isolare immediatamente i sistemi interessati per interrompere ulteriori movimenti laterali e traffico di comando e controllo. Condurre un’indagine forense completa per determinare il punto di accesso iniziale e l’intero scope del compromesso. Resettare le credenziali per tutti gli account potenzialmente interessati, in particolare gli utenti privilegiati, e rivedere Active Directory per cambiamenti non autorizzati o nuove assegnazioni di gruppi.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Check Pre-volo di Telemetria & Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione & Comandi di Attacco: L’avversario mira a stabilire un punto d’appoggio utilizzando i metodi caratteristici della campagna SharkLoader. Innanzitutto, l’attaccante simula il byproduct del sideloading di DLL avviando una versione rinominata di un binario legittimo come SystemSettings.exe. Una volta in esecuzione il processo, l’attaccante tenta di ottenere una consapevolezza situazionale enumerando l’ambiente di dominio. Per imitare il TTP osservato, l’attaccante utilizza PowerShell per interrogare Active Directory per oggetti utenti e computer, il che è un passaggio comune nella fase di ricognizione di un compromesso di dominio.

  • Script di Test di Regressione:

    # Script di simulazione per rilevamento SharkLoader & Enumerazione AD
    
    Write-Host "[*] Inizio simulazione..." -ForegroundColor Cyan
    
    # 1. Simulare l'esecuzione del processo SharkLoader via SystemSettings.exe
    # Usiamo notepad.exe come proxy per simulare il comportamento del binario sideloadato
    Start-Process "notepad.exe" -ArgumentList "/c "Questo è un SystemSettings.exe simulato"" -WindowStyle Nascosto
    # Nota: In un ambiente reale, il file stesso sarebbe denominato SystemSettings.exe. 
    # Per questo test, simuleremo la creazione della voce del processo.
    
    # 2. Simulare l'enumerazione malevola di Active Directory
    Write-Host "[*] Simulazione dell'enumerazione AD in corso..." -ForegroundColor Yellow
    # Utilizzando cmdlet standard che la regola specificamente cerca
    Get-ADUser -Filter * | Select-Object -First 5
    Get-ADComputer -Filter * | Select-Object -First 5
    Get-ADGroup -Filter * | Select-Object -First 5
    
    Write-Host "[+] Comandi di simulazione eseguiti." -ForegroundColor Green
  • Comandi di Pulizia:

    # Script di pulizia per garantire che non rimangano processi residui
    Stop-Process -Name "notepad" -ErrorAction SilentlyContinue
    Write-Host "[*] Pulizia completata." -ForegroundColor Cyan