Lovci na prijetnje su otkrili novi malver loader baziran na Go-u pod nazivom CherryLoader koji isporučuje dodatni teret na kompromitovane hostove radi daljnje eksploatacije.
Arctic Wolf Labs, koji je otkrio novi alat za napad u dva nedavna upada, saopštio je da su ikona i naziv loader-a maskirani kao legitimna aplikacija za zabilješke CherryTree kako bi naveli potencijalne žrtve da je instaliraju.
“CherryLoader je korišten za ubacivanje jednog od dva alata za eskalaciju privilegija, PrintSpoofer ili JuicyPotatoNG, koji bi zatim pokrenuli batch fajl za uspostavljanje postojanosti na uređaju žrtve”, rekli su istraživači Hady Azzam, Christopher Prest i Steven Campbell.
U još jednom novom zaokretu, CherryLoader takođe posjeduje modularne karakteristike koje omogućavaju hakeru da zameni eksploatacije bez ponovnog kompajliranja koda.
Trenutno nije poznato kako se učitavač distribuiše, ali lanci napada koje je ispitala firma za sajber sigurnost pokazuju da se CherryLoader (“cherrytree.exe”) i povezani fajlovi (“NuxtSharp.Data”, “Spof.Data” i “Juicy. Podaci”) nalaze u RAR arhivskoj datoteci (“Packed.rar”) koja se nalazi na IP adresi 141.11.187[.]70.
Uz RAR datoteku preuzima se izvršni fajl (“main.exe”) koji se koristi za raspakivanje i pokretanje Golang binarnog fajla, koji se nastavlja samo ako se prvi argument koji mu je proslijeđen podudara s tvrdo kodiranom MD5 hash lozinkom.
Učitavač naknadno dešifrira “NuxtSharp.Data” i upisuje sadržaj u datoteku pod nazivom “File.log” na disku koja je, zauzvrat, dizajnirana da dekodira i pokreće “Spof.Data” kao “12.log” koristeći tehniku bez datoteka poznatu kao proces ghosting koja je prvi put izašla na vidjelo u junu 2021.
“Ova tehnika je modularnog dizajna i omogućit će hakeru da iskoristi drugi eksploatacijski kod umjesto Spof.Data”, rekli su istraživači. “U ovom slučaju, Juicy.Data koji sadrži drugačiji exploit, može se zamijeniti bez ponovnog kompajliranja File.log.”
Proces povezan sa “12.log” je povezan sa alatom za eskalaciju privilegija otvorenog koda pod nazivom PrintSpoofer, dok je “Juicy.Data” još jedan alat za eskalaciju privilegija pod nazivom JuicyPotatoNG.
Nakon uspješne eskalacije privilegija slijedi izvršavanje skripte batch datoteke pod nazivom “user.bat” za uspostavljanje postojanosti na hostu i deaktiviranje Microsoft Defendera.
“CherryLoader je novo identifikovani višestepeni downloader koji koristi različite metode šifriranja i druge tehnike anti-analize u pokušaju da detonira alternativne, javno dostupne eksploatacije eskalacije privilegija bez potrebe za ponovnim kompajliranjem bilo kakvog koda,” zaključili su istraživači.
Izvor: The Hacker News