Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), Endonezya, Tayvan, Hong Kong, Lübnan, Suriye, Kolombiya, Kuzey Makedonya, Nepal ve Sırbistan'daki diplomatik misyonlar, devlet kurumları ve yazılım şirketlerini hedef alan "StrikeShark" adlı yeni bir siber saldırı kampanyasını ortaya çıkardı. Saldırganlar, sistem erişimi için Microsoft Exchange, Microsoft SharePoint ve Openfire sunucuları gibi internete açık uygulamalardaki güvenlik açıklarından yararlanıyor. Bazı durumlarda ise meşru yazılımların ardına gizlenmiş zararlı yükleyiciler kullanarak hedeflere ulaşıyor.
Kampanyada kullanılan "SharkLoader" adlı zararlı yazılım yükleyicisi, ileri teknik karmaşıklığa sahiptir. Sistem içine girdikten sonra, şifrelenmiş zararlı modülleri çalıştırmak için Windows uygulamaları üzerinden "DLL side-loading" yöntemi kullanır. Saldırganlar, tespit mekanizmalarını atlatmak amacıyla API kancalarını enjekte etmek üzere tasarlanmış ek bileşenler yükleyerek, son aşamada "Cobalt Strike Beacon" adlı penetrasyon testi aracını sisteme yerleştirir.
Kaspersky, kampanyanın henüz bilinen herhangi bir APT grubuna bağlanmadığını belirtse de, tehdidi yakından takip etmeyi sürdürüyor. Şirket, kuruluşların sistematik yazılım güncellemeleri yapması, zararlı yazılım tespit edebilen güvenlik çözümleri kullanması ve çalışanlarına siber güvenlik farkındalık eğitimi vermesini önemle tavsiye ediyor.
