Go tabanlı yeni bir kötü amaçlı yazılım yükleyicisi çağrıldı Kiraz Yükleyici Doğadaki tehdit avcıları tarafından, daha sonraki istismarlar için güvenliği ihlal edilmiş ana bilgisayarlara ek yükler dağıttığı keşfedildi.
Son iki saldırıda yeni saldırı aracını keşfeden Arctic Wolf Labs, yükleyicinin simgesinin ve adının, potansiyel kurbanları onu yüklemeye ikna etmek için yasal CherryTree not alma uygulaması gibi göründüğünü söyledi.
“CherryLoader iki ayrıcalık yükseltme aracından birini bırakmak için kullanıldı, Yazdırma Sahtekarlığı veya SuluPatatesNGaraştırmacılar Hady Azzam, Christopher Prest ve Steven Campbell, daha sonra kurbanın cihazında kalıcılık oluşturmak için bir toplu iş dosyası çalıştıracaklarını söyledi. söz konusu.
Başka bir yenilik olarak CherryLoader, tehdit aktörünün kodu yeniden derlemeden açıkları değiştirmesine olanak tanıyan modülerleştirilmiş özellikler de içeriyor.
Yükleyicinin nasıl dağıtıldığı şu anda bilinmiyor ancak siber güvenlik firması tarafından incelenen saldırı zincirleri, CherryLoader’ın (“cherrytree.exe”) ve onunla ilişkili dosyaların (“NuxtSharp.Data,”https://thehackernews.com/2024/) dağıtıldığını gösteriyor. 01/”Spof.Data” ve “Juicy.Data”), 141.11.187 IP adresinde barındırılan bir RAR arşiv dosyasında (“Packed.rar”) bulunur.[.]70.
RAR dosyasıyla birlikte indirilen yürütülebilir dosya (“main.exe”), Golang ikili dosyasını açmak ve başlatmak için kullanılır; bu yalnızca kendisine iletilen ilk argümanın sabit kodlu bir MD5 şifre karmasıyla eşleşmesi durumunda devam eder.
Yükleyici daha sonra “NuxtSharp.Data”nın şifresini çözer ve içeriğini diskteki “File.log” adlı bir dosyaya yazar; bu dosya da dosyasız bir teknik kullanarak “Spof.Data”nın kodunu çözüp “12.log” olarak çalıştırmak üzere tasarlanmıştır. İlk kez Haziran 2021’de ortaya çıkan, süreç gölgelenmesi olarak bilinen olay.
Araştırmacılar, “Bu teknik, tasarım açısından modülerdir ve tehdit aktörünün Spof.Data yerine diğer istismar kodlarından yararlanmasına olanak tanıyacaktır” dedi. “Bu durumda, farklı bir istismar içeren Juicy.Data, File.log’u yeniden derlemeden yerinde değiştirilebilir.”
“12.log” ile ilişkili süreç, PrintSpoofer adlı açık kaynaklı bir ayrıcalık yükseltme aracına bağlanırken “Juicy.Data”, JuicyPotatoNG adlı başka bir ayrıcalık yükseltme aracıdır.
Başarılı bir ayrıcalık yükseltme işlemini, ana bilgisayarda kalıcılığı ayarlamak, Microsoft Defender’ı devre dışı bırakmak ve uzak bağlantıları kolaylaştırmak için güvenlik duvarı kurallarını değiştirmek için “user.bat” adlı bir toplu iş dosyası komut dosyasının yürütülmesi izler.
“CherryLoader [a] Araştırmacılar, “herhangi bir kodu yeniden derlemek zorunda kalmadan alternatif, kamuya açık ayrıcalık yükseltme istismarlarını patlatmak amacıyla farklı şifreleme yöntemlerinden ve diğer anti-analiz tekniklerinden yararlanan, yeni tanımlanan çok aşamalı indirici” sonucuna vardı.