サイバーセキュリティ企業の研究チームは、最近の 2 件の攻撃で、新しい Go ベースのマルウェア ダウンローダーを使用した攻撃者を特定しました。
Arctic Wolf Labs はこれを「CherryLoader」と呼んでいます。これにより、攻撃者はコードを再コンパイルせずにエクスプロイトを共有できるようになります。ローダーのアイコンと名前は、被害者を欺くためにメモ作成アプリケーションの CherryTree に偽装されました。調査された攻撃では、CherryLoader を使用して PrintSpoofer または JuicyPotatoNG がインストールされました。どちらも、インストール後にバッチ ファイルを実行するアクセス エスカレーション ツールです。これにより、攻撃者は被害者のデバイスに留まり続けることが可能になります。
最も重要な発見
- ホッキョクオオカミ は、現在の攻撃で「CherryLoader」と呼ばれる新しい Go ベースのローダーの使用を観察しました。
- ローダーにはモジュール関数が含まれていますこれにより、攻撃者はコードを再コンパイルすることなくエクスプロイトを共有できるようになります。
- 「チェリーローダー」 は、公開されている 2 つの権限昇格エクスプロイトを使用します。
- CherryLoader の攻撃チェーン プロセス ゴースティングを使用することで、攻撃者がアクセス権を増やし、被害者のコンピュータに残り続けることを可能にします。
北極狼について Arctic Wolf は、セキュリティ オペレーションのグローバル リーダーであり、サイバー リスクを軽減するための初のクラウドネイティブ セキュリティ オペレーション プラットフォームを提供しています。 Arctic Wolf® Security Operations Cloud は、エンドポイント、ネットワーク、およびクラウド ソースにわたる脅威テレメトリに基づいて、世界中で 1,6 週間に 2.000 兆を超えるセキュリティ イベントを分析します。 ほぼすべてのセキュリティ ユース ケースに企業にとって重要な洞察を提供し、顧客の異種セキュリティ ソリューションを最適化します。 Arctic Wolf プラットフォームは、世界中で XNUMX を超える顧客に使用されています。 自動化された脅威の検出と対応を提供し、あらゆる規模の組織がボタンを押すだけで世界クラスのセキュリティ運用をセットアップできるようにします。