Il team di ricerca di una società di sicurezza informatica ha identificato gli autori delle minacce utilizzando un nuovo downloader di malware basato su Go in due recenti attacchi.
Arctic Wolf Labs lo chiama “CherryLoader”. Ciò consente agli aggressori di condividere exploit senza ricompilare il codice. L'icona e il nome del caricatore erano mascherati da applicazione per prendere appunti CherryTree per ingannare le vittime. Gli attacchi esaminati utilizzavano CherryLoader per installare PrintSpoofer o JuicyPotatoNG. Entrambi sono strumenti di escalation dell'accesso che eseguono un file batch dopo l'installazione. Ciò consente agli aggressori di rimanere sul dispositivo della vittima.
I risultati più importanti
- lupo artico ha osservato l’uso di un nuovo caricatore basato su Go – chiamato “CherryLoader” – negli attacchi attuali.
- Il caricatore contiene funzioni modulari, che consentono agli aggressori di condividere exploit senza dover ricompilare il codice.
- Il “CherryLoader” utilizza due exploit di escalation dei privilegi disponibili pubblicamente.
- La catena di attacco di CherryLoader utilizza il ghosting dei processi e consente agli autori delle minacce di aumentare i propri diritti di accesso e quindi persistere sui computer delle vittime.
A proposito di lupo artico Arctic Wolf è un leader globale nelle operazioni di sicurezza, fornendo la prima piattaforma di operazioni di sicurezza nativa del cloud per mitigare il rischio informatico. Sulla base della telemetria delle minacce che copre endpoint, rete e fonti cloud, Arctic Wolf® Security Operations Cloud analizza più di 1,6 trilioni di eventi di sicurezza alla settimana in tutto il mondo. Fornisce informazioni critiche per l'azienda su quasi tutti i casi d'uso della sicurezza e ottimizza le soluzioni di sicurezza eterogenee dei clienti. La piattaforma Arctic Wolf è utilizzata da oltre 2.000 clienti in tutto il mondo. Fornisce rilevamento e risposta automatizzati alle minacce, consentendo alle organizzazioni di tutte le dimensioni di impostare operazioni di sicurezza di livello mondiale con la semplice pressione di un pulsante.