Купон на скидку: 2026
Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) обнаружили новую сложную вредоносную кампанию, получившую название StrikeShark. Злоумышленники сумели проникнуть в ряд организаций по всему миру, затронув Тайвань, Индонезию, Гонконг, Ливан, Сирию, Колумбию, Северную Македонию, Непал и Сербию. Для осуществления атаки использовался ранее неизвестный загрузчик вредоносного ПО, названный SharkLoader. На данный момент «Лаборатория Касперского» не связывает данную кампанию ни с одной из известных хакерских группировок и продолжает отслеживать ее активность.
Первичное заражение осуществлялось с использованием различных тактик. В частности, атакующие эксплуатировали уязвимости в приложениях, подключенных к интернету, таких как Microsoft Exchange, Microsoft SharePoint и Openfire. В других случаях применялись вредоносные дропперы, замаскированные под легальное программное обеспечение, включая поддельные установщики Google Update или Cisco AnyConnect, а также фишинговые PDF-документы, чтобы обманом вынудить пользователей скачать вредоносное ПО.
Техническая сложность SharkLoader свидетельствует о высокой квалификации злоумышленников. Процесс заражения является многоэтапным: после эксплуатации уязвимости или запуска дроппера используется метод боковой загрузки DLL-файлов с помощью легитимных приложений Windows для загрузки зашифрованных вредоносных модулей. Эти модули расшифровывают и рефлексивно загружают дополнительные компоненты для установки API-хуков, предназначенных для обхода механизмов обнаружения. Конечной целью этой сложной цепочки является внедрение и запуск Cobalt Strike Beacon — легитимного инструмента для тестирования на проникновение, который злоумышленники часто применяют для управления и контроля, разведки, латерального перемещения по сети и эксфильтрации данных из скомпрометированных систем.
Руководитель Kaspersky GReAT в Азии, Африке и на Ближнем Востоке Сергей Ложкин отметил, что кампания StrikeShark отражает изменения в ландшафте киберугроз. По его словам, злоумышленники сочетают легкодоступные инструменты атак с индивидуально разработанным вредоносным ПО и передовыми методами обхода защиты. Использование приманок, выглядящих как легитимные ресурсы, и эксплуатация известных уязвимостей подчеркивают острую необходимость для организаций обеспечивать тщательное управление исправлениями, эффективное обнаружение и реагирование на угрозы на конечных устройствах, а также проводить всестороннее обучение сотрудников по вопросам информационной безопасности.
Для обеспечения защиты «Лаборатория Касперского» рекомендует регулярно обновлять все приложения, чтобы устранять известные уязвимости, и использовать проверенные защитные решения для обнаружения и блокировки дропперов вредоносного ПО. Также необходимо обучать сотрудников навыкам цифровой грамотности, чтобы минимизировать риски атак с использованием методов социальной инженерии, в том числе фишинга; в этом помогут специализированные курсы или тренинги, например платформа Kaspersky Automated Security Awareness Platform. Кроме того, рекомендуется применять комплексное решение для защиты, такое как Kaspersky Symphony XDR, — платформу многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Данное решение подходит для среднего и крупного бизнеса любой отрасли. Первый в России ИТ-маркетплейс CNewsMarket для Вашего бизнеса, с ценами на ИТ-услуги от сотен поставщиков.