Für den Erstzugriff setzt StrikeShark laut Kaspersky auf mehrere bekannte Schwachstellen in öffentlich erreichbaren Anwendungen. Im Fall der indonesischen diplomatischen Einrichtung nutzten die Angreifer demnach CVE-2021-26855 in Exchange Server, auch als ProxyLogon bekannt. Bei taiwanischen Softwareentwicklungsorganisationen kam eine Path-Traversal-Lücke in Openfire mit der Kennung CVE-2023-32315 zum Einsatz. Gegen eine Organisation in Kolumbien wurde laut dem Bericht die kritische Remote-Code-Execution-Schwachstelle CVE-2024-36401 in GeoServer verwendet.

Kaspersky geht davon aus, dass die Angreifer wahrscheinlich öffentlich verfügbare Proof-of-Concept-Exploits von GitHub oder anderen Open-Source-Plattformen einsetzen, um sich eher opportunistisch Zugang zu verschaffen. Nach der ersten Kompromittierung richten sie Persistenz ein, indem sie Web-Shells platzieren und damit eine DLL-Side-Loading-Kette über „SystemSettings.exe“ auslösen. In diesem Zusammenhang nennen die Forscher CVE-2021-27076. Geliefert wird dabei SharkLoader in Form von „SystemSettings.dll“.

Ein zweiter Verteilungsweg für SharkLoader sind eigens angepasste Dropper-Programme, die sich als legitime Installer oder Anwendungen tarnen, etwa als Google Update oder Cisco AnyConnect. Nach Abschluss des Installationsvorgangs wird der Malware-Loader ausgeführt. Wie diese Dropper an die Opfer gelangen, ist laut Kaspersky bislang unbekannt. Zusätzlich zu als Installer getarnten Ködern nutzen mehrere SharkLoader-Dropper demnach auch PDF-Dokumente als Lockmittel, um Opfer zum Öffnen der schädlichen Datei zu bewegen. Nicht alle Proben verwenden diese Methode; einige dienen ausschließlich als Transportmechanismus für SharkLoader.

Nach dem Laden der DLL verwendet SharkLoader sogenanntes Perfect DLL Hijacking. Kaspersky verweist dabei auf eine im Oktober 2023 von Sicherheitsforscher Elliot Killick beschriebene Technik, mit der sich Schadcode ausführen lässt, ohne an der Windows Loader Lock zu scheitern, also an der systemweiten Sperre, die das Betriebssystem beim Laden und Entladen von DLLs hält. Konkret entschlüsselt und lädt SharkLoader „DscCoreR.mui“. Diese Komponente wird anschließend genutzt, um Cobalt Strike zu dekomprimieren und in einem neu erzeugten, zunächst angehaltenen Thread zu laden, zusammen mit zwei weiteren Komponenten.

Wie Kaspersky beschreibt, installiert die Malware danach API-Hooks, schreibt den Cobalt-Strike-Beacon-Shellcode in den Thread-Puffer und ruft schließlich die ResumeThread-API auf, um den angehaltenen Thread fortzusetzen und die Ausführung des Beacons zu starten. Eigene Persistenzmechanismen bringt SharkLoader selbst nicht mit. Stattdessen beobachtete Kaspersky, dass die Angreifer Registry-Run-Schlüssel und geplante Aufgaben verwenden, um den Start von „SystemSettings.exe“ auszulösen, entweder bei der Benutzeranmeldung oder auch ohne angemeldeten Nutzer.

Nach Erstzugriff und Persistenz folgt eine umfangreiche Aufklärungsphase. Dazu gehören laut Kaspersky die Enumeration von Active Directory, der Diebstahl von Zugangsdaten durch Angriffe auf den LSASS-Prozess und die NTDS-Datenbankdatei sowie der Einsatz von Open-Source-Scannern und Werkzeugen zur Informationssammlung wie FScan, Searchall und Pillager.

Mangels aktiver Datenexfiltration bleibt das Endziel von StrikeShark unklar. Kaspersky sieht wegen der Zielauswahl bei Regierungs- und Softwareentwicklungsorganisationen jedoch Anzeichen für eine Ausrichtung auf Cyberspionage und ein mögliches Interesse an politischen Informationen oder geistigem Eigentum. Zugleich spreche die Kombination aus SharkLoader, Cobalt Strike, der Ausnutzung öffentlich erreichbarer Anwendungen sowie bösartigen Installern und Droppern dafür, dass die Angreifer auch opportunistisch verwundbare Systeme ins Visier nehmen könnten.