Дослідницька група компанії з кібербезпеки виявила суб’єктів загрози за допомогою нового завантажувача зловмисного програмного забезпечення на базі Go під час двох останніх атак.
Arctic Wolf Labs називає це «CherryLoader». Це дозволяє зловмисникам ділитися експлойтами без перекомпіляції коду. Іконка та ім'я навантажувача були замасковані під програму для нотаток CherryTree для обману жертв. Розглянуті атаки використовували CherryLoader для встановлення PrintSpoofer або JuicyPotatoNG. Обидва є інструментами ескалації доступу, які запускають пакетний файл після встановлення. Це дозволяє зловмисникам залишатися на пристрої жертви.
Найважливіші висновки
- Арктичний вовк спостерігав за використанням нового завантажувача на базі Go під назвою «CherryLoader» у поточних атаках.
- Завантажувач містить модульні функції, які дозволяють зловмисникам ділитися експлойтами без необхідності перекомпілювати код.
- «CherryLoader» використовує два загальнодоступні експлойти підвищення привілеїв.
- Ланцюг атак CherryLoader використовує ghosting процесів і дозволяє суб’єктам загрози збільшувати свої права доступу та, таким чином, зберігатися на комп’ютерах жертв.
Про Арктичного вовка Arctic Wolf є світовим лідером у сфері операцій безпеки, надаючи першу хмарну платформу операцій безпеки для зменшення кіберризиків. На основі даних телеметрії про загрози, що охоплюють кінцеві точки, мережі та хмарні джерела, Arctic Wolf® Security Operations Cloud аналізує понад 1,6 трильйона подій безпеки на тиждень у всьому світі. Він надає важливу для компанії інформацію про майже всі випадки використання безпеки та оптимізує неоднорідні рішення безпеки клієнтів. Платформу Arctic Wolf використовують понад 2.000 клієнтів по всьому світу. Він забезпечує автоматичне виявлення загроз і реагування на них, дозволяючи організаціям будь-якого розміру налаштовувати операції безпеки світового класу одним натисканням кнопки.