Bir siber güvenlik şirketinin araştırma ekibi, son iki saldırıda yeni bir Go tabanlı kötü amaçlı yazılım indiricisi kullanan tehdit aktörlerini belirledi.
Arctic Wolf Labs buna "CherryLoader" adını veriyor. Bu, saldırganların kodu yeniden derlemeden açıkları paylaşmasına olanak tanır. Yükleyicinin simgesi ve adı, kurbanları kandırmak için not alma uygulaması CherryTree olarak gizlendi. İncelenen saldırılarda PrintSpoofer veya JuicyPotatoNG'yi yüklemek için CherryLoader kullanıldı. Her ikisi de kurulumdan sonra bir toplu iş dosyası çalıştıran erişim yükseltme araçlarıdır. Bu, saldırganların kurbanın cihazında kalmasına olanak tanır.
En önemli bulgular
- Arktik Kurt mevcut saldırılarda “CherryLoader” adı verilen yeni Go tabanlı bir yükleyicinin kullanıldığını gözlemledi.
- Yükleyici modüler işlevler içerirBu, saldırganların kodu yeniden derlemeye gerek kalmadan açıkları paylaşmasına olanak tanır.
- “Kiraz Yükleyici” halka açık iki ayrıcalık yükseltme istismarını kullanır.
- CherryLoader'ın saldırı zinciri Süreç gölgelenmesini kullanır ve tehdit aktörlerinin erişim haklarını artırmalarına ve böylece kurbanların bilgisayarlarında varlıklarını sürdürmelerine olanak tanır.
Arktik Kurt Hakkında Arctic Wolf, siber riski azaltmak için ilk bulut tabanlı güvenlik operasyonları platformunu sağlayan güvenlik operasyonlarında dünya lideridir. Uç nokta, ağ ve bulut kaynaklarını kapsayan tehdit telemetrisine dayanan Arctic Wolf® Security Operations Cloud, dünya çapında haftada 1,6 trilyondan fazla güvenlik olayını analiz eder. Neredeyse tüm güvenlik kullanım durumlarına ilişkin şirket açısından kritik içgörüler sağlar ve müşterilerin heterojen güvenlik çözümlerini optimize eder. Arctic Wolf platformu, dünya çapında 2.000'den fazla müşteri tarafından kullanılmaktadır. Otomatik tehdit tespiti ve yanıtı sağlayarak, her büyüklükteki kuruluşun tek bir düğmeye dokunarak birinci sınıf güvenlik operasyonları kurmasını sağlar.