StrikeShark 攻擊活動利用已知漏洞入侵系統並透過 SharkLoader 部署 Cobalt Strike


(圖片由生成式人工智能生成,並經專業人員審核。)
近期觀察到一項被追蹤為 StrikeShark 的攻擊活動,顯示攻擊者持續透過未修補的外網系統漏洞取得初始存取權限。該活動利用名為 SharkLoader 的多階段惡意程式載入器,最終部署 Cobalt Strike 惡意軟件(一個廣泛使用的滲透後框架),以實現後續滲透及控制。
雖然該活動所使用的惡意程式具有一定技術複雜度,但最關鍵的風險仍在於初始入侵主要依賴已公開且可利用的漏洞。這再次強調了及時修補系統漏洞及妥善管理外部攻擊面的重要性。
利用公開服務漏洞作為入侵途徑
StrikeShark 攻擊活動主要透過利用對外開放的企業應用系統漏洞取得初始入侵點。該類系統通常可直接從互聯網連線,一旦未妥善保護,便會構成高風險攻擊面。
觀察到的攻擊涉及多個常見企業平台,包括:
- Microsoft Exchange Server(例如 CVE-2021-26855)
- Microsoft SharePoint(例如 CVE-2021-27076)
- Openfire Server(例如 CVE-2023-32315)
- GeoServer(例如 CVE-2024-36401)
此外,攻擊者亦被觀察到針對多種企業系統及網絡設備進行掃描及利用,包括:
- Apache Shiro – CVE-2016-4437
- Hikvision 產品 – CVE-2021-36260
- Zimbra Collaboration Suite – CVE-2022-27925
- Microsoft Exchange Server – CVE-2022-41082
- F5 BIG-IP – CVE-2023-46747
- Fortinet FortiOS – CVE-2022-40684、CVE-2024-21762
- Cisco IOS XE Web UI – CVE-2023-20198
- Jenkins – CVE-2024-23897
- Joomla CMS – CVE-2023-23752
- React Server Components – CVE-2025-55182
上述漏洞大多屬於遠端執行代碼或繞過身份驗證類型,攻擊者可在未授權情況下於目標系統執行指令。
值得注意的是,相關漏洞的利用程式碼已被公開於網上,攻擊者無需自行開發攻擊工具,進一步反映該活動具有投機主義的攻擊特徵,即針對未及時修補系統的組織進行入侵。
為何相關漏洞風險特別高
涉及對外服務的漏洞尤其危險,原因在於可被遠端直接利用,且通常不需要複雜互動。攻擊者可:
- 直接取得伺服器控制權
- 部署 webshell 以維持持續遠端控制
- 利用受害主機作為立足點,進一步滲透內網
一旦成功建立初始存取,攻擊者便可迅速進入下一階段,包括憑證竊取及內部網絡滲透。
從漏洞利用到惡意程式執行
在成功利用漏洞後,攻擊者會部署 SharkLoader,通常透過 webshell 或惡意程式投放(dropper)進行。
常見手法包括利用合法 Windows 程式進行 DLL 側載。例如,攻擊者會將 SystemSettings.exe 複製到可寫入目錄,並配合惡意 DLL 執行,使惡意程式能以合法程序形式運作。
其後載入器會直接於記憶體中解密並執行後續模組,最終啟動 Cobalt Strike Beacon,讓攻擊者可遠端控制系統。
入侵後活動
在取得系統控制後,攻擊者通常會進行以下行為:
- 系統及網絡環境偵察
- Active Directory 架構列舉
- 憑證收集(例如 LSASS 記憶體)
- 內網橫向移動
使用 Cobalt Strike 大幅提升了攻擊者在執行此類操作時的能力,同時維持其隱蔽性。
影響
攻擊目標包括政府機構及軟件相關企業,顯示可能涉及情報收集或長期滲透目的。然而,由於攻擊依賴已知漏洞,任何機構,若存在未修補漏洞的對外系統均可能成為目標。
這反映即使複雜的攻擊鏈,亦往往由基本安全問題開始,例如未修補漏洞。
安全建議
- 優先修補對外系統漏洞
機構應立即檢查並修補所有外網系統,特別是涉及上述 CVE 的服務。
- 減少暴露於互聯網的關鍵服務
在可行情況下,可透過 VPN、IP 白名單或零信任存取模式,限制對管理介面及企業服務的存取。
- 監察漏洞利用及掃描行為
針對已知存在漏洞的端點之可疑請求,以及針對外部暴露服務的掃描活動,實施監測及警告機制。
- 偵測 webshell 及異常指令執行
監察異常指令執行模式,特別是來自 Web 伺服器或應用程序進程的行為。
- 識別合法程序異常使用
注意 SystemSettings.exe 等系統程序在非正常路徑執行的情況。
- 加強憑證保護
採用多重驗證、最小權限控制,以及對帳密儲存的保護措施,以降低被入侵後的風險。
總結
StrikeShark 攻擊活動展示了攻擊者持續依賴已知漏洞作為入侵的初始入口,並結合多階段載入器及隱蔽技術以進一步深入滲透。雖然惡意程式採用了記憶體中執行及 API 操控等進階技術,但攻擊往往仍取決於未修補系統或設定不當的服務。
企業應將漏洞管理及限制外部攻擊面視為關鍵防禦策略,以在攻擊鏈最初階段便阻止入侵。
參考資料
分享至
