- 9,463
- 18
- 8 Ноя 2022
Гибкость и изменчивость – главное оружие нового вредоноса.
Исследователи Arctic Wolf Для просмотра ссылки Войдиили Зарегистрируйся новый вредоносный загрузчик, написанный на языке Go , под названием CherryLoader. Ранее эта угроза уже была замечена в дикой природе ( ITW ) с целью доставки дополнительных вредоносных программ на заражённые хосты для последующей эксплуатации.
Загрузчик, обнаруженный в ходе двух недавних вторжений, использует значок и название, маскируясь под легитимное приложение для ведения заметок CherryTree, чтобы обманом заставить потенциальных жертв установить его.
Специалисты отмечают, что CherryLoader использовался для установки одного из двух легитимных OpenSource-инструментов для повышения привилегий — Для просмотра ссылки Войдиили Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся , — которые затем запускали пакетный файл для установки постоянного присутствия на устройстве жертвы.
Ещё одной новаторской особенностью CherryLoader является его модульность, позволяющая злоумышленникам менять эксплоиты без необходимости перекомпиляции кода.
В настоящее время неизвестно, каким образом распространяется загрузчик, но исследование цепочек атак показало, что CherryLoader («cherrytree.exe») и связанные с ним файлы («NuxtSharp.Data», «Spof.Data» и «Juicy.Data») содержатся в архивном файле RAR («Packed.rar»), размещённом по IP-адресу «141.11.187[.]70».
Вместе с архивом RAR загружается исполняемый файл («main.exe»), который используется для распаковки и запуска бинарного файла на Golang, который продолжает работу только если первый аргумент, переданный ему, соответствует жёстко закодированному хешу пароля MD5 .
Далее загрузчик расшифровывает «NuxtSharp.Data» и записывает его содержимое в файл «File.log» на диске, который, в свою очередь, предназначен для декодирования и запуска «Spof.Data» как «12.log» с использованием техники без файлов, известной как «Process Ghosting» , которая впервые была описана исследователями в июне 2021 года.
Эта техника модульна по своей конструкции и позволяет злоумышленнику использовать другой эксплоит вместо «Spof.Data». В данном случае «Juicy.Data», содержащий другой эксплоит, может быть заменён без перекомпиляции «File.log».
Ассоциированный с «12.log» процесс связан с OpenSource-инструментом для повышения привилегий PrintSpoofer, в то время как «Juicy.Data» — это другой инструмент для повышения привилегий, названный JuicyPotatoNG.
Успешное повышение привилегий сопровождается выполнением пакетного файла сценария «user.bat» для установления постоянного присутствия на хосте и отключения Microsoft Defender.
Исследователи пришли к выводу, что CherryLoader — это новый многоэтапный загрузчик, использующий различные методы шифрования и антианализа в попытке использовать альтернативные, общедоступные эксплойты повышения привилегий без необходимости перекомпиляции какого-либо кода.
Исследователи Arctic Wolf Для просмотра ссылки Войди
Загрузчик, обнаруженный в ходе двух недавних вторжений, использует значок и название, маскируясь под легитимное приложение для ведения заметок CherryTree, чтобы обманом заставить потенциальных жертв установить его.
Специалисты отмечают, что CherryLoader использовался для установки одного из двух легитимных OpenSource-инструментов для повышения привилегий — Для просмотра ссылки Войди
Ещё одной новаторской особенностью CherryLoader является его модульность, позволяющая злоумышленникам менять эксплоиты без необходимости перекомпиляции кода.
В настоящее время неизвестно, каким образом распространяется загрузчик, но исследование цепочек атак показало, что CherryLoader («cherrytree.exe») и связанные с ним файлы («NuxtSharp.Data», «Spof.Data» и «Juicy.Data») содержатся в архивном файле RAR («Packed.rar»), размещённом по IP-адресу «141.11.187[.]70».
Вместе с архивом RAR загружается исполняемый файл («main.exe»), который используется для распаковки и запуска бинарного файла на Golang, который продолжает работу только если первый аргумент, переданный ему, соответствует жёстко закодированному хешу пароля MD5 .
Далее загрузчик расшифровывает «NuxtSharp.Data» и записывает его содержимое в файл «File.log» на диске, который, в свою очередь, предназначен для декодирования и запуска «Spof.Data» как «12.log» с использованием техники без файлов, известной как «Process Ghosting» , которая впервые была описана исследователями в июне 2021 года.
Эта техника модульна по своей конструкции и позволяет злоумышленнику использовать другой эксплоит вместо «Spof.Data». В данном случае «Juicy.Data», содержащий другой эксплоит, может быть заменён без перекомпиляции «File.log».
Ассоциированный с «12.log» процесс связан с OpenSource-инструментом для повышения привилегий PrintSpoofer, в то время как «Juicy.Data» — это другой инструмент для повышения привилегий, названный JuicyPotatoNG.
Успешное повышение привилегий сопровождается выполнением пакетного файла сценария «user.bat» для установления постоянного присутствия на хосте и отключения Microsoft Defender.
Исследователи пришли к выводу, что CherryLoader — это новый многоэтапный загрузчик, использующий различные методы шифрования и антианализа в попытке использовать альтернативные, общедоступные эксплойты повышения привилегий без необходимости перекомпиляции какого-либо кода.
- Источник новости
- www.securitylab.ru
