Das Forschungsteams eines Cybersicherheitsunternehmens hat bei zwei aktuellen Angriffen festgestellt, dass Bedrohungsakteure einen neuen Go-basierten Malware-Downloader nutzen.
Arctic Wolf Labs nennt ihn “CherryLoader“. Dieser ermöglicht es Angreifern, Exploits ohne Neukompilierung des Codes auszutauschen. Das Symbol und der Name des Loaders waren als die Notiz-Anwendung CherryTree getarnt, um Opfer zu täuschen. Bei den untersuchten Angriffen wurde CherryLoader verwendet, um PrintSpoofer oder JuicyPotatoNG zu installieren. Beides sind Tools zur Ausweitung der Zugriffsrechte, die nach Installation eine Batch-Datei ausführen. Das ermöglicht es den Angreifern auf dem Gerät des Opfers zu verbleiben.
Die wichtigsten Erkenntnisse
- Arctic Wolf hat bei aktuellen Angriffen den Einsatz eines neuen Go-basierten Loaders –„CherryLoader“ genannt – beobachtet.
- Der Loader enthält modulare Funktionen, die es Angreifern ermöglichen, Exploits auszutauschen, ohne den Code neu kompilieren zu müssen.
- Der „CherryLoader“ nutzt zwei öffentlich verfügbare Exploits zur Ausweitung von Berechtigungen.
- Die Angriffskette von CherryLoader verwendet Process-Ghosting und ermöglicht es Bedrohungsakteuren, ihre Zugriffsrechte zu erweitern und so auf den Rechnern der Opfer zu verharren.
Über Arctic Wolf Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.