Een nieuwe op Go gebaseerde malware-lader genaamd Kersenlader is door bedreigingsjagers in het wild ontdekt om extra ladingen naar gecompromitteerde hosts te sturen voor vervolgexploitatie.
Arctic Wolf Labs, dat de nieuwe aanvalstool bij twee recente inbraken ontdekte, zei dat het pictogram en de naam van de lader zich voordoen als de legitieme CherryTree-notitietoepassing om potentiële slachtoffers te misleiden om deze te installeren.
“CherryLoader werd gebruikt om een van de twee tools voor escalatie van bevoegdheden te laten vallen, PrintSpoofer of JuicyPotatoNG, die vervolgens een batchbestand zouden uitvoeren om persistentie op het apparaat van het slachtoffer vast te stellen”, aldus onderzoekers Hady Azzam, Christopher Prest en Steven Campbell.
In een andere nieuwe variant bevat CherryLoader ook gemodulariseerde functies waarmee de bedreigingsacteur exploits kan uitwisselen zonder de code opnieuw te hoeven compileren.
Het is momenteel niet bekend hoe de loader wordt gedistribueerd, maar de aanvalsketens die door het cyberbeveiligingsbedrijf zijn onderzocht, laten zien dat CherryLoader (“cherrytree.exe”) en de bijbehorende bestanden (“NuxtSharp.Data”, “Spof.Data” en “Juicy. Data”) zijn opgenomen in een RAR-archiefbestand (“Packed.rar”) dat wordt gehost op het IP-adres 141.11.187[.]70.
Samen met het RAR-bestand wordt een uitvoerbaar bestand (“main.exe”) gedownload dat wordt gebruikt om het Golang-binaire bestand uit te pakken en te starten, dat alleen doorgaat als het eerste argument dat eraan wordt doorgegeven overeenkomt met een hardgecodeerde MD5-wachtwoordhash.
De lader decodeert vervolgens “NuxtSharp.Data” en schrijft de inhoud ervan naar een bestand met de naam “File.log” op schijf dat op zijn beurt is ontworpen om “Spof.Data” te decoderen en uit te voeren als “12.log” met behulp van een bestandsloze techniek bekend als process ghosting, dat voor het eerst aan het licht kwam in juni 2021.
“Deze techniek is modulair van opzet en zal de dreigingsactor in staat stellen andere exploitcode te gebruiken in plaats van Spof.Data”, aldus de onderzoekers. “In dit geval kan Juicy.Data, dat een andere exploit bevat, op zijn plaats worden gewisseld zonder File.log opnieuw te compileren.”
Het proces dat verband houdt met “12.log” is gekoppeld aan een open-source escalatietool voor privileges genaamd PrintSpoofer, terwijl “Juicy.Data” een andere tool voor escalatie van privileges is genaamd JuicyPotatoNG.
Een succesvolle escalatie van bevoegdheden wordt gevolgd door de uitvoering van een batchbestandsscript genaamd “user.bat” om persistentie op de host in te stellen en Microsoft Defender uit te schakelen.
“CherryLoader wel [a] Nieuw geïdentificeerde meerfasige downloader die gebruik maakt van verschillende encryptiemethoden en andere anti-analysetechnieken in een poging om alternatieve, openbaar beschikbare privilege-escalatie-exploits tot ontploffing te brengen zonder dat er code opnieuw hoeft te worden gecompileerd”, concluderen de onderzoekers.
