Siber Muhbir

Son iki saldırıda yeni saldırı aracını keşfeden Arctic Wolf Labs, yükleyicinin simgesinin ve adının, potansiyel kurbanları onu yüklemeleri için kandırmak için meşru CherryTree not alma uygulaması gibi göründüğünü söyledi.

Araştırmacılar Hady Azzam, Christopher Prest ve Steven Campbell, "CherryLoader, iki ayrıcalık yükseltme aracından biri olan PrintSpoofer veya JuicyPotatoNG'yi bırakmak için kullanıldı ve bu daha sonra kurban cihazında kalıcılık sağlamak için bir toplu iş dosyası çalıştıracaktı" dedi.

Başka bir yeni bükülmede, CherryLoader ayrıca tehdit aktörünün kodu yeniden derlemeden açıkları değiştirmesine izin veren modüler özellikler de içeriyor.

Şu anda yükleyicinin nasıl dağıtıldığı bilinmiyor, ancak siber güvenlik firması tarafından incelenen saldırı zincirleri, CherryLoader'ın ("cherrytree.exe") ve ilişkili dosyalarının ("NuxtSharp.Data", "Spof.Data" ve "Juicy.Data") 141.11.187 IP adresinde barındırılan bir RAR arşiv dosyasında ("Packed.rar") bulunduğunu gösteriyor. 70.

RAR dosyasıyla birlikte indirilen, Golang ikili dosyasını açmak ve başlatmak için kullanılan bir yürütülebilir dosyadır ("main.exe"), yalnızca kendisine iletilen ilk argüman sabit kodlanmış bir MD5 parola karmasıyla eşleşirse devam eder.

Yükleyici daha sonra "NuxtSharp.Data" şifresini çözer ve içeriğini diskteki "File.log" adlı bir dosyaya yazar ve bu dosya, ilk olarak Haziran 2021'de ortaya çıkan işlem gölgelenmesi olarak bilinen dosyasız bir teknik kullanarak "Spof.Data"nın kodunu çözmek ve "12.log" olarak çalıştırmak için tasarlanmıştır.

Araştırmacılar, "Bu teknik tasarım olarak modülerdir ve tehdit aktörünün Spof.Data yerine diğer istismar kodlarından yararlanmasına izin verecektir" dedi. "Bu durumda, farklı bir istismar içeren Juicy.Data, File.log yeniden derlemeden yerinde değiştirilebilir."

"12.log" ile ilişkili süreç, PrintSpoofer adlı açık kaynaklı bir ayrıcalık yükseltme aracına bağlıyken, "Juicy.Data", JuicyPotatoNG adlı başka bir ayrıcalık yükseltme aracıdır.

Başarılı bir ayrıcalık yükseltmesini, konakta kalıcılığı ayarlamak, Microsoft Defender'ı devre dışı bırakmak ve uzak bağlantıları kolaylaştırmak için güvenlik duvarı kurallarını değiştirmek için "user.bat" adlı bir toplu iş dosyası betiğinin yürütülmesi izler.

Araştırmacılar, "CherryLoader, herhangi bir kodu yeniden derlemek zorunda kalmadan alternatif, halka açık ayrıcalık yükseltme istismarlarını patlatmak amacıyla farklı şifreleme yöntemlerinden ve diğer anti-analiz tekniklerinden yararlanan yeni tanımlanmış çok aşamalı bir indiricidir" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.