潛伏全球|卡巴斯基揭露 StrikeShark 間諜攻擊行動 香港亦遭波及
網安公司卡巴斯基(Kaspersky)於 2026 年 6 月揭露一項名為 StrikeShark 的全球網絡攻擊行動,攻擊者利用知名漏洞與社會工程手法,透過新型惡意載入程式 SharkLoader 部署 Cobalt Strike Beacon,進而對受害機構進行長期監控與資料竊取 。卡巴斯基指出,香港、台灣、印尼、黎巴嫩、敘利亞、哥倫比亞、北馬其頓、尼泊爾及塞爾維亞等地政府與機構均遭攻擊,顯示該行動具有廣泛地理覆蓋與跨產業目標。
StrikeShark 攻擊手法:漏洞利用+社交工程雙軌並行
根據卡巴斯基分析,StrikeShark 的初期入侵管道主要有兩種:
1.利用暴露於網際網絡的應用程式伺服器漏洞:黑客針對 Microsoft Exchange(ProxyLogon,CVE-2021-26855)、Openfire Server(CVE-2023-32315)、Microsoft SharePoint、Zimbra、F5 BIG-IP、Fortinet 防火牆及 GeoServer 等系統,利用已知遠端程式碼執行(RCE)漏洞或身分驗證繞過漏洞,滲透伺服器並建立初始入侵管道 。
2.網絡釣魚+假裝合法軟體:黑客透過電郵或網站,聲稱提供 Google Update、Cisco AnyConnect 等合法企業應用軟體,誘導使用者下載並執行偽裝成安裝程式的 SharkLoader,以便載入 Cobalt Strike Beacon 。部分樣本甚至使用 PDF 文件作為釣魚載體。
成功入侵後,黑客會進一步引入開源工具 FScan 與 Pillager,執行內網掃描、資訊側錄與橫向移動,進行更深入的特工式監控 。
SharkLoader 技術特點:高度專業化間諜工具
SharkLoader 被描述為「尚未被文獻記錄的惡意載入程式」,其技術複雜度包括:
1.使用 DLL side-loading 與合法 Windows 應用程式(如 SystemSettings.exe、msedge.exe)載入加密惡意模組;
2.安裝大量 API hook(使用 Microsoft Detours 與 MinHook),以禁用 ETW 日誌、偽裝父進程 PID 並演變記憶體權限,以逃避偵測;
3.最終注入並執行 Cobalt Strike Beacon,用於遠端控制、橫向移動與資料竊取 。
卡巴斯基明確表示,目前尚未將此攻擊歸因於任何已知 APT 群組,僅持續追蹤其活動 。



