StrikeShark: a new campaign involving a custom SharkLoader and Cobalt Strike Beacon

Kaspersky researchers have uncovered a previously undocumented malware campaign called StrikeShark, which uses a custom loader named SharkLoader to deploy Cobalt Strike Beacon on compromised systems. Initial access is gained through exploitation of vulnerabilities in internet-facing applications (Microsoft Exchange ProxyLogon, Openfire, GeoServer, Fortinet, Cisco, and others) as well as dropper executables disguised as legitimate software like Google Update and Cisco AnyConnect. SharkLoader employs DLL sideloading via a legitimate Windows binary (SystemSettings.exe), uses 'Perfect DLL Hijacking' to bypass the Windows loader lock, and deploys multiple API hooks via Microsoft Detours and MinHook to evade memory scanning. The Cobalt Strike Beacon is encrypted with Blowfish and AES, reflectively loaded in memory, and executed in a suspended thread. Post-compromise activity includes Active Directory enumeration, credential dumping from LSASS and NTDS, and use of open-source tools (FScan, Searchall, Pillager) associated with Chinese-speaking developers. Victims span government entities, diplomatic organizations, and software development companies across Indonesia, Taiwan, Lebanon, Syria, Hong Kong, Colombia, and more. Attribution remains preliminary with low confidence pointing to a Chinese-speaking threat actor.

Nguồn: https://securelist.com/strikeshark-campaign/120326. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

StepSecurity14 phút13 giờ trướcAI

Mass npm Supply Chain Attack: 20 Leo Platform Packages Compromised

Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.

Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.