Go tabanlı yeni bir kötü amaçlı yazılım yükleyicisi çağrıldı Kiraz Yükleyici Doğadaki tehdit avcıları tarafından, daha sonraki istismarlar için güvenliği ihlal edilmiş ana bilgisayarlara ek yükler dağıttığı keşfedildi.
Son iki saldırıda yeni saldırı aracını keşfeden Arctic Wolf Labs, yükleyicinin simgesinin ve adının, potansiyel kurbanları onu yüklemeye ikna etmek için yasal CherryTree not alma uygulaması gibi göründüğünü söyledi.
Araştırmacılar Hady Azzam, Christopher Prest ve Steven Campbell, “CherryLoader, iki ayrıcalık yükseltme aracından birini (PrintSpoofer veya JuicyPotatoNG) bırakmak için kullanıldı; bu araç daha sonra kurban cihazında kalıcılık oluşturmak için bir toplu iş dosyası çalıştıracaktı.” dedi.
Başka bir yenilik olarak CherryLoader, tehdit aktörünün kodu yeniden derlemeden açıkları değiştirmesine olanak tanıyan modülerleştirilmiş özellikler de içeriyor.
Şu anda yükleyicinin nasıl dağıtıldığı bilinmiyor ancak siber güvenlik firması tarafından incelenen saldırı zincirleri, CherryLoader’ın (“cherrytree.exe”) ve onunla ilişkili dosyaların (“NuxtSharp.Data”, “Spof.Data” ve “Juicy.dll”) dağıtıldığını gösteriyor. Veriler”), 141.11.187 IP adresinde barındırılan bir RAR arşiv dosyasında (“Packed.rar”) bulunur.[.]70.
RAR dosyasıyla birlikte indirilen yürütülebilir dosya (“main.exe”), Golang ikili dosyasını açmak ve başlatmak için kullanılır; bu yalnızca kendisine iletilen ilk argümanın sabit kodlu bir MD5 şifre karmasıyla eşleşmesi durumunda devam eder.
Yükleyici daha sonra “NuxtSharp.Data”nın şifresini çözer ve içeriğini diskteki “File.log” adlı bir dosyaya yazar; bu dosya da dosyasız bir teknik kullanarak “Spof.Data”nın kodunu çözüp “12.log” olarak çalıştırmak üzere tasarlanmıştır. İlk kez Haziran 2021’de ortaya çıkan, süreç gölgelenmesi olarak bilinen olay.
Araştırmacılar, “Bu teknik, tasarım açısından modülerdir ve tehdit aktörünün Spof.Data yerine diğer istismar kodlarından yararlanmasına olanak tanıyacaktır” dedi. “Bu durumda, farklı bir istismar içeren Juicy.Data, File.log’u yeniden derlemeden yerinde değiştirilebilir.”
“12.log” ile ilişkili süreç, PrintSpoofer adlı açık kaynaklı bir ayrıcalık yükseltme aracına bağlanırken “Juicy.Data”, JuicyPotatoNG adlı başka bir ayrıcalık yükseltme aracıdır.
Başarılı bir ayrıcalık yükseltme işleminin ardından, ana bilgisayarda kalıcılığı ayarlamak ve Microsoft Defender’ı devre dışı bırakmak için “user.bat” adlı bir toplu iş dosyası komut dosyasının yürütülmesi gelir.
“CherryLoader [a] Araştırmacılar, “herhangi bir kodu yeniden derlemek zorunda kalmadan alternatif, kamuya açık ayrıcalık yükseltme istismarlarını patlatmak amacıyla farklı şifreleme yöntemlerinden ve diğer anti-analiz tekniklerinden yararlanan, yeni tanımlanan çok aşamalı indirici” sonucuna vardı.