Исследователи Kaspersky сообщили о новой киберкампании StrikeShark, в которой используется ранее не документированное семейство вредоносного ПО SharkLoader. Его основная роль — доставлять Cobalt Strike Beacon на уже скомпрометированные системы. По данным The Hacker News, жертвами кампании стали дипломатическая организация в Индонезии, государственные структуры Тайваня, компании-разработчики ПО в разных странах, а также организации в Гонконге, Ливане, Сирии, Колумбии, Северной Македонии, Непале и Сербии.

Важная особенность атаки — не одна конкретная отрасль, а широкий и оппортунистический набор целей. Kaspersky описывает географически распределённую кампанию, где злоумышленники используют известные уязвимости и публичные инструменты постэксплуатации. Прямой атрибуции к уже известной группе пока нет, но исследователи отмечают признаки китайскоязычного оператора: среди применяемых средств встречаются FScan и Pillager, популярные в соответствующей экосистеме.

Первичный доступ строится на эксплуатации давно известных дыр в инфраструктуре. В одном случае для атаки на индонезийскую дипломатическую организацию использовались уязвимости Microsoft Exchange, включая CVE-2021-26855, также известную как ProxyLogon. Для тайваньских разработчиков упоминалась path traversal-уязвимость Openfire CVE-2023-32315, а для организации в Колумбии — критическая RCE-уязвимость GeoServer CVE-2024-36401. Это подчёркивает старую, но болезненную проблему: не закрытые вовремя уязвимости продолжают превращаться в входные двери для новых кампаний.

После получения доступа операторы разворачивают web shell и запускают цепочку DLL side-loading. В описанном сценарии фигурирует SystemSettings.exe и вредоносная библиотека SystemSettings.dll, через которую загружается SharkLoader. Второй путь доставки — кастомные dropper-файлы, маскирующиеся под легитимные установщики или приложения, например Google Update или Cisco AnyConnect. Как именно эти установщики попадают к жертве, пока не раскрыто.

Опасность SharkLoader не только в самом загрузчике, а в том, что он приводит к Cobalt Strike Beacon. Этот инструмент широко используется легитимными командами red team, но в руках злоумышленников превращается в платформу для разведки, закрепления, lateral movement и последующей кражи данных. Если первичный доступ получен через публичный эксплойт, а затем быстро развёрнут Cobalt Strike, у защитников остаётся очень короткое окно для обнаружения.

Практический вывод для администраторов остаётся прямым: публичные сервисы Exchange, Openfire, GeoServer и похожие компоненты нужно проверять не только на наличие патчей, но и на признаки уже состоявшейся компрометации. Web shell может пережить обновление, а Cobalt Strike часто появляется уже после того, как уязвимость формально закрыта. Поэтому приоритетом должны быть аудит внешних периметров, поиск неизвестных DLL рядом с легитимными бинарями и анализ исходящих соединений с серверов, которые обычно не должны инициировать сетевую активность.

Источник: The Hacker News, 26 июня 2026