Охотники за угрозами обнаружили новый загрузчик вредоносного ПО на базе Go под названием CherryLoader, который позволяет доставлять дополнительные полезные данные на скомпрометированные хосты для последующего использования.
Arctic Wolf Labs, обнаружившая новый инструмент атаки в ходе двух недавних вторжений, заявила, что значок и название загрузчика маскируются под законное приложение для ведения заметок CherryTree, чтобы обманом заставить потенциальных жертв установить его.
"CherryLoader использовался для удаления одного из двух инструментов повышения привилегий, PrintSpoofer или JuicyPotatoNG, которые затем запускали пакетный файл для установления персистентности на устройстве жертвы", - сказали исследователи Хади Аззам, Кристофер Прест и Стивен Кэмпбелл.
Еще одним нововведением является то, что CherryLoader также содержит модульные функции, которые позволяют субъекту угрозы заменять эксплойты без перекомпиляции кода.
В настоящее время неизвестно, как распространяется загрузчик, но цепочки атак, изученные фирмой по кибербезопасности, показывают, что CherryLoader ("cherrytree.exe") и связанных с ней файлов ("NuxtSharp.Data", "Spof.Data" и "Juicy.Данные") содержатся в файле архива RAR ("Packed.rar"), размещенном по IP-адресу 141.11.187[.]70.
Загруженный вместе с файлом RAR исполняемый файл ("main.exe") используется для распаковки и запуска двоичного файла Golang, который выполняется, только если первый переданный ему аргумент соответствует жестко закодированному хэшу пароля MD5.
Впоследствии загрузчик расшифровывает "NuxtSharp.Data" и записывает его содержимое в файл с именем "File.log" на диске, который, в свою очередь, предназначен для декодирования и запуска "Spof.Data" как "12.log" с использованием технологии без файлов, известной как ореол процесса, которая впервые была обнаружена в июне 2021 года.
"Этот метод имеет модульную конструкцию и позволит субъекту угрозы использовать другой код эксплойта вместо Spof.Data", - сказали исследователи. "В данном случае Juicy.Данные, содержащие другой эксплойт, могут быть заменены без перекомпиляции File.log."
Процесс, связанный с "12.log", связан с инструментом повышения привилегий с открытым исходным кодом под названием PrintSpoofer, в то время как "Juicy.Data" - это другой инструмент повышения привилегий под названием JuicyPotatoNG.
За успешным повышением привилегий следует выполнение сценария пакетного файла под названием "user.bat" для настройки сохранения на хосте и отключения Microsoft Defender.
"CherryLoader - это недавно идентифицированный многоступенчатый загрузчик, который использует различные методы шифрования и другие методы антианализа в попытке взорвать альтернативные, общедоступные эксплойты повышения привилегий без необходимости перекомпиляции какого-либо кода", - заключили исследователи.
Arctic Wolf Labs, обнаружившая новый инструмент атаки в ходе двух недавних вторжений, заявила, что значок и название загрузчика маскируются под законное приложение для ведения заметок CherryTree, чтобы обманом заставить потенциальных жертв установить его.
"CherryLoader использовался для удаления одного из двух инструментов повышения привилегий, PrintSpoofer или JuicyPotatoNG, которые затем запускали пакетный файл для установления персистентности на устройстве жертвы", - сказали исследователи Хади Аззам, Кристофер Прест и Стивен Кэмпбелл.
Еще одним нововведением является то, что CherryLoader также содержит модульные функции, которые позволяют субъекту угрозы заменять эксплойты без перекомпиляции кода.
В настоящее время неизвестно, как распространяется загрузчик, но цепочки атак, изученные фирмой по кибербезопасности, показывают, что CherryLoader ("cherrytree.exe") и связанных с ней файлов ("NuxtSharp.Data", "Spof.Data" и "Juicy.Данные") содержатся в файле архива RAR ("Packed.rar"), размещенном по IP-адресу 141.11.187[.]70.
Загруженный вместе с файлом RAR исполняемый файл ("main.exe") используется для распаковки и запуска двоичного файла Golang, который выполняется, только если первый переданный ему аргумент соответствует жестко закодированному хэшу пароля MD5.
Впоследствии загрузчик расшифровывает "NuxtSharp.Data" и записывает его содержимое в файл с именем "File.log" на диске, который, в свою очередь, предназначен для декодирования и запуска "Spof.Data" как "12.log" с использованием технологии без файлов, известной как ореол процесса, которая впервые была обнаружена в июне 2021 года.
"Этот метод имеет модульную конструкцию и позволит субъекту угрозы использовать другой код эксплойта вместо Spof.Data", - сказали исследователи. "В данном случае Juicy.Данные, содержащие другой эксплойт, могут быть заменены без перекомпиляции File.log."
Процесс, связанный с "12.log", связан с инструментом повышения привилегий с открытым исходным кодом под названием PrintSpoofer, в то время как "Juicy.Data" - это другой инструмент повышения привилегий под названием JuicyPotatoNG.
За успешным повышением привилегий следует выполнение сценария пакетного файла под названием "user.bat" для настройки сохранения на хосте и отключения Microsoft Defender.
"CherryLoader - это недавно идентифицированный многоступенчатый загрузчик, который использует различные методы шифрования и другие методы антианализа в попытке взорвать альтернативные, общедоступные эксплойты повышения привилегий без необходимости перекомпиляции какого-либо кода", - заключили исследователи.
