An ninh mạng

Cảnh báo malware SharkLoader mới: Kẻ tấn công lợi dụng hàng loạt lỗ hổng để triển khai Cobalt Strike

Các chuyên gia từ Kaspersky vừa phát hiện chiến dịch StrikeShark, sử dụng malware SharkLoader mới để phát tán Cobalt Strike Beacon thông qua hàng loạt lỗ hổng bảo mật nghiêm...

Nguyen Hung
27 Tháng 6, 2026 3 Min Read
8 0

Một chiến dịch tấn công mạng mới vừa được phát hiện, sử dụng dòng malware chưa từng được ghi nhận trước đây có tên là SharkLoader. Công cụ này đóng vai trò là một loader trung gian để triển khai Cobalt Strike Beacon vào các máy chủ bị xâm nhập.

Table Of Content

Chiến dịch StrikeShark và phạm vi ảnh hưởng

Kaspersky, đơn vị đang theo dõi chiến dịch này dưới tên gọi StrikeShark, cho biết các mục tiêu bao gồm tổ chức ngoại giao tại Indonesia, cơ quan chính phủ ở Đài Loan, các công ty phát triển phần mềm trên toàn cầu, cùng nhiều thực thể khác tại Hồng Kông, Lebanon, Syria, Colombia, Nepal và Serbia. Các chuyên gia nhận định đây là một chiến dịch có phạm vi địa lý rộng lớn và nhắm vào nhiều lĩnh vực đa dạng.

Mặc dù chưa xác định được danh tính cụ thể của nhóm tấn công, nhưng việc sử dụng các công cụ hậu xâm nhập mã nguồn mở như FScan và Pillager – vốn phổ biến trong cộng đồng lập trình viên nói tiếng Trung – khiến giới bảo mật nghi ngờ đây là sản phẩm của một nhóm tin tặc nói tiếng Trung.

Phương thức tấn công và khai thác lỗ hổng

Kẻ tấn công sử dụng hai con đường chính để giành quyền truy cập ban đầu:

  • Khai thác lỗ hổng ứng dụng công khai: Nhóm này tận dụng hàng loạt CVE nổi tiếng như ProxyLogon (CVE-2021-26855), ProxyNotShell (CVE-2022-41082), lỗ hổng trong Openfire (CVE-2023-32315), GeoServer (CVE-2024-36401), cũng như các lỗi trong Apache Shiro, Hikvision, Microsoft SharePoint, Zimbra, F5 BIG-IP, Fortinet FortiOS, Cisco IOS XE và React Server Components.
  • Phát tán qua dropper: Sử dụng các tệp thực thi giả mạo trình cài đặt phần mềm hợp pháp như Google Update hoặc Cisco AnyConnect, đôi khi đi kèm với tài liệu PDF giả mạo để đánh lừa nạn nhân.

Cơ chế hoạt động tinh vi của SharkLoader

Sau khi xâm nhập, SharkLoader thực hiện kỹ thuật Perfect DLL Hijacking để thực thi mã độc mà không bị Windows Loader Lock ngăn chặn. Malware này giải mã và tải thành phần “DscCoreR.mui”, sau đó sử dụng thư viện Microsoft Detours để cài đặt các API hook nhằm giám sát runtime và vượt qua các kỹ thuật quét bộ nhớ (memory scanning) bằng cách can thiệp vào các hàm VirtualAlloc và Sleep.

Sau khi Cobalt Strike Beacon được nạp vào bộ nhớ, malware sẽ kích hoạt luồng thực thi để bắt đầu quá trình kiểm soát hệ thống. Mặc dù bản thân SharkLoader không có cơ chế duy trì (persistence) tích hợp, kẻ tấn công vẫn duy trì sự hiện diện thông qua Registry Run keys và các tác vụ đã lên lịch (scheduled tasks).

Mục tiêu cuối cùng

Sau khi chiếm quyền điều khiển, nhóm tấn công thực hiện liệt kê Active Directory, đánh cắp thông tin xác thực từ tiến trình LSASS và cơ sở dữ liệu NTDS. Dù chưa ghi nhận hành vi trích xuất dữ liệu quy mô lớn, nhưng việc nhắm vào các tổ chức chính phủ và công ty phần mềm cho thấy khả năng đây là một chiến dịch gián điệp mạng nhằm thu thập thông tin tình báo hoặc sở hữu trí tuệ. Tuy nhiên, Kaspersky cũng cảnh báo rằng kẻ tấn công có thể đang thực hiện các cuộc tấn công cơ hội và sẽ triển khai các module trích xuất dữ liệu của Cobalt Strike trong giai đoạn sau.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept