Een nieuwe op Go gebaseerde malware-lader genaamd CherryLoader is in het wild opgedoken, vormt een aanzienlijke bedreiging door extra payloads af te leveren op gecompromitteerde hosts voor latere exploitatie.
CherryLoader Malware-lader in detail
CherryLoader werkt bedrieglijk, zichzelf vermomd als de legitieme CherryTree-notitietoepassing om potentiële slachtoffers te verleiden de malware onbewust te installeren. Opgegraven tijdens twee recente inbraken, deze geavanceerde lader heeft aanleiding gegeven tot bezorgdheid vanwege zijn unieke tactieken en mogelijkheden.
Volgens een rapport door onderzoekers Hady Azzam, Christoffel Prest, en Steven Campbell, CherryLoader wordt gebruikt om PrintSpoofer of JuicyPotatoNG te verwijderen – twee tools voor escalatie van bevoegdheden. deze tools, beurtelings, voer een batchbestand uit om persistentie op het apparaat van het slachtoffer tot stand te brengen.
De schadelijke mogelijkheden van CherryLoader
Een opmerkelijk aspect van CherryLoader is de mogelijkheid om modulaire functies op te nemen, waardoor bedreigingsactoren naadloos exploits kunnen uitwisselen zonder dat de code opnieuw hoeft te worden gecompileerd. De distributiemethode van de lader is momenteel onbekend, maar cyberbeveiligingsexperts hebben de aanwezigheid ervan in aanvalsketens getraceerd, waar het verborgen is in een RAR-archiefbestand met de naam “Verpakt.rar” gehost op het IP-adres 141.11.187[.]70.
Na het downloaden van het RAR-bestand, een uitvoerbaar bestand (“main.exe”) pakt het Golang-binaire bestand uit en start het, wat alleen doorgaat als het eerste argument overeenkomt met een hardgecodeerde MD5-wachtwoordhash. De lader decodeert vervolgens “NuxtSharp.Data” en schrijft de inhoud ervan naar een bestand met de naam “Bestand.log,” met behulp van een bestandsloze techniek die bekend staat als process ghosting, voor het eerst geïdentificeerd in juni 2021.
Dankzij het modulaire ontwerp van CherryLoader kan de bedreigingsacteur exploits vervangen zonder code opnieuw te compileren. Bijvoorbeeld, waar de lader van kan overschakelen “Spof.Data” aan “Sappig.Gegevens” naadloos, elk bevat verschillende exploits voor escalatie van bevoegdheden.
Het proces dat daarmee gepaard gaat “12.logboek” is gekoppeld aan de open-source escalatietool PrintSpoofer, terwijl “Sappig.Gegevens” implementeert een ander hulpmiddel voor escalatie van bevoegdheden, bekend als JuicyPotatoNG. Na een succesvolle escalatie van bevoegdheden, een batchbestandsscript genaamd “gebruiker.bat” wordt uitgevoerd, het tot stand brengen van persistentie op de host en het uitschakelen van Microsoft Defender.
Conclusie
Tenslotte, CherryLoader komt naar voren als een nieuw geïdentificeerde meerfasige downloader die gebruik maakt van verschillende versleutelingsmethoden en anti-analysetechnieken. Het vermogen om alternatieve privilege-escalatie-exploitaties uit te voeren zonder de code opnieuw te compileren, maakt het een behoorlijk krachtige bedreiging. Beveiligingsexperts blijven CherryLoader monitoren en analyseren om effectieve tegenmaatregelen tegen deze geavanceerde malware te ontwikkelen.