Гибкость и изменчивость – главное оружие нового вредоноса.
Исследователи Arctic Wolf обнаружили новый вредоносный загрузчик, написанный на языке Go, под названием CherryLoader. Ранее эта угроза уже была замечена в дикой природе (ITW) с целью доставки дополнительных вредоносных программ на заражённые хосты для последующей эксплуатации.
Загрузчик, обнаруженный в ходе двух недавних вторжений, использует значок и название, маскируясь под легитимное приложение для ведения заметок CherryTree, чтобы обманом заставить потенциальных жертв установить его.
Специалисты отмечают, что CherryLoader использовался для установки одного из двух легитимных OpenSource-инструментов для повышения привилегий — PrintSpoofer или JuicyPotatoNG , — которые затем запускали пакетный файл для установки постоянного присутствия на устройстве жертвы.
Ещё одной новаторской особенностью CherryLoader является его модульность, позволяющая злоумышленникам менять эксплоиты без необходимости перекомпиляции кода.
В настоящее время неизвестно, каким образом распространяется загрузчик, но исследование цепочек атак показало, что CherryLoader («cherrytree.exe») и связанные с ним файлы («NuxtSharp.Data», «Spof.Data» и «Juicy.Data») содержатся в архивном файле RAR («Packed.rar»), размещённом по IP-адресу «141.11.187[.]70».
Вместе с архивом RAR загружается исполняемый файл («main.exe»), который используется для распаковки и запуска бинарного файла на Golang, который продолжает работу только если первый аргумент, переданный ему, соответствует жёстко закодированному хешу пароля MD5.
Далее загрузчик расшифровывает «NuxtSharp.Data» и записывает его содержимое в файл «File.log» на диске, который, в свою очередь, предназначен для декодирования и запуска «Spof.Data» как «12.log» с использованием техники «Process Ghosting», которая впервые была описана исследователями в июне 2021 года.
Эта техника модульна по своей конструкции и позволяет злоумышленнику использовать другой эксплоит вместо «Spof.Data». В данном случае «Juicy.Data», содержащий другой эксплоит, может быть заменён без перекомпиляции «File.log».
Ассоциированный с «12.log» процесс связан с OpenSource-инструментом для повышения привилегий PrintSpoofer, в то время как «Juicy.Data» — это другой инструмент для повышения привилегий, названный JuicyPotatoNG.
Успешное повышение привилегий сопровождается выполнением пакетного файла сценария «user.bat» для установления постоянного присутствия на хосте и отключения Microsoft Defender.
Исследователи пришли к выводу, что CherryLoader — это новый многоэтапный загрузчик, использующий различные методы шифрования и антианализа в попытке использовать альтернативные, общедоступные эксплойты повышения привилегий без необходимости перекомпиляции какого-либо кода.
Сбалансированная диета для серого вещества