L'équipe de recherche d'une société de cybersécurité a identifié des acteurs malveillants utilisant un nouveau téléchargeur de logiciels malveillants basé sur Go lors de deux attaques récentes.
Arctic Wolf Labs l'appelle « CherryLoader ». Cela permet aux attaquants de partager des exploits sans recompiler le code. L'icône et le nom du chargeur ont été déguisés en application de prise de notes CherryTree pour tromper les victimes. Les attaques examinées utilisaient CherryLoader pour installer PrintSpoofer ou JuicyPotatoNG. Les deux sont des outils d’escalade d’accès qui exécutent un fichier batch après l’installation. Cela permet aux attaquants de rester sur l'appareil de la victime.
Les découvertes les plus importantes
- Loup arctique a observé l’utilisation d’un nouveau chargeur basé sur Go – appelé « CherryLoader » – dans les attaques actuelles.
- Le chargeur contient des fonctions modulaires, qui permettent aux attaquants de partager des exploits sans avoir à recompiler le code.
- Le « CherryLoader » utilise deux exploits d'élévation de privilèges accessibles au public.
- Chaîne d'attaque de CherryLoader utilise le ghosting de processus et permet aux acteurs de la menace d'augmenter leurs droits d'accès et ainsi de persister sur les ordinateurs des victimes.
À propos du loup arctique Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.