Не стоит доверять знакомым иконкам: CherryLoader выводит искусство кибермаскировки на новый уровень

Исследователи Arctic Wolf обнаружили новый вредоносный загрузчик, написанный на языке Go, под названием CherryLoader. Ранее эта угроза уже была замечена в дикой природе (ITW) с целью доставки дополнительных вредоносных программ на заражённые хосты для последующей эксплуатации.

Загрузчик, обнаруженный в ходе двух недавних вторжений, использует значок и название, маскируясь под легитимное приложение для ведения заметок CherryTree, чтобы обманом заставить потенциальных жертв установить его.

Специалисты отмечают, что CherryLoader использовался для установки одного из двух легитимных OpenSource-инструментов для повышения привилегий — PrintSpoofer или JuicyPotatoNG , — которые затем запускали пакетный файл для установки постоянного присутствия на устройстве жертвы.

Ещё одной новаторской особенностью CherryLoader является его модульность, позволяющая злоумышленникам менять эксплоиты без необходимости перекомпиляции кода.

В настоящее время неизвестно, каким образом распространяется загрузчик, но исследование цепочек атак показало, что CherryLoader («cherrytree.exe») и связанные с ним файлы («NuxtSharp.Data», «Spof.Data» и «Juicy.Data») содержатся в архивном файле RAR («Packed.rar»), размещённом по IP-адресу «141.11.187[.]70».

Вместе с архивом RAR загружается исполняемый файл («main.exe»), который используется для распаковки и запуска бинарного файла на Golang, который продолжает работу только если первый аргумент, переданный ему, соответствует жёстко закодированному хешу пароля MD5.

Далее загрузчик расшифровывает «NuxtSharp.Data» и записывает его содержимое в файл «File.log» на диске, который, в свою очередь, предназначен для декодирования и запуска «Spof.Data» как «12.log» с использованием техники «Process Ghosting», которая впервые была описана исследователями в июне 2021 года.

Эта техника модульна по своей конструкции и позволяет злоумышленнику использовать другой эксплоит вместо «Spof.Data». В данном случае «Juicy.Data», содержащий другой эксплоит, может быть заменён без перекомпиляции «File.log».

Ассоциированный с «12.log» процесс связан с OpenSource-инструментом для повышения привилегий PrintSpoofer, в то время как «Juicy.Data» — это другой инструмент для повышения привилегий, названный JuicyPotatoNG.

Успешное повышение привилегий сопровождается выполнением пакетного файла сценария «user.bat» для установления постоянного присутствия на хосте и отключения Microsoft Defender.

Исследователи пришли к выводу, что CherryLoader — это новый многоэтапный загрузчик, использующий различные методы шифрования и антианализа в попытке использовать альтернативные, общедоступные эксплойты повышения привилегий без необходимости перекомпиляции какого-либо кода.