Arctic Wolf Labs hat bei zwei aktuellen Angriffen festgestellt, dass Bedrohungsakteure einen neuen Go-basierten Malware-Downloader nutzen. Arctic Wolf Labs nennt ihn “CherryLoader“.
Dieser ermöglicht es Angreifern, Exploits ohne Neukompilierung des Codes auszutauschen. Das Symbol und der Name des Loaders waren als die Notiz-Anwendung CherryTree getarnt, um Opfer zu täuschen. Bei den untersuchten Angriffen wurde CherryLoader verwendet, um PrintSpoofer oder JuicyPotatoNG zu installieren. Beides sind Tools zur Ausweitung der Zugriffsrechte, die nach Installation eine Batch-Datei ausführen. Das ermöglicht es den Angreifern auf dem Gerät des Opfers zu verbleiben.
Die wichtigsten Erkenntnisse:
- Arctic Wolf hat bei aktuellen Angriffen den Einsatz eines neuen Go-basierten Loaders –„CherryLoader“ genannt – beobachtet.
- Der Loader enthält modulare Funktionen, die es Angreifern ermöglichen, Exploits auszutauschen, ohne den Code neu kompilieren zu müssen.
- Der „CherryLoader“ nutzt zwei öffentlich verfügbare Exploits zur Ausweitung von Berechtigungen.
Die Angriffskette von CherryLoader verwendet Process-Ghosting und ermöglicht es Bedrohungsakteuren, ihre Zugriffsrechte zu erweitern und so auf den Rechnern der Opfer zu verharren.
Weitere Informationen finden Sie im Arctic Wolf-Blog.
arcticwolf.com/labs/