![Yeni CherryLoader Kötü Amaçlı Yazılımı, PrivEsc Açıklarından Yararlanmak İçin CherryTree’yi Taklit Ediyor](https://kilalu.blog/news/2024-07-30-07:33/Yeni CherryLoader Kötü Amaçlı Yazılımı, PrivEsc Açıklarından Yararlanmak İçin CherryTree’yi Taklit Ediyor.jpg)
25 Ocak 2024Haber odasıTehdit İstihbaratı / Kötü Amaçlı Yazılım Araştırması
Go tabanlı yeni bir kötü amaçlı yazılım yükleyicisi çağrıldı Kiraz Yükleyici Doğadaki tehdit avcıları tarafından, daha sonraki istismarlar için güvenliği ihlal edilmiş ana bilgisayarlara ek yükler dağıttığı keşfedildi.
Son iki saldırıda yeni saldırı aracını keşfeden Arctic Wolf Labs, yükleyicinin simgesinin ve adının, potansiyel kurbanları onu yüklemeye ikna etmek için yasal CherryTree not alma uygulaması gibi göründüğünü söyledi.
“CherryLoader iki ayrıcalık yükseltme aracından birini bırakmak için kullanıldı, Yazdırma Sahtekarlığı veya SuluPatatesNGaraştırmacılar Hady Azzam, Christopher Prest ve Steven Campbell, daha sonra kurbanın cihazında kalıcılık oluşturmak için bir toplu iş dosyası çalıştıracaklarını söyledi. söz konusu.
Başka bir yenilik olarak CherryLoader, tehdit aktörünün kodu yeniden derlemeden açıkları değiştirmesine olanak tanıyan modülerleştirilmiş özellikler de içeriyor.
Yükleyicinin nasıl dağıtıldığı şu anda bilinmiyor ancak siber güvenlik firması tarafından incelenen saldırı zincirleri, CherryLoader’ın (“cherrytree.exe”) ve onunla ilişkili dosyaların (“NuxtSharp.Data,”https://thehackernews.com/2024/) dağıtıldığını gösteriyor. 01/”Spof.Data” ve “Juicy.Data”), 141.11.187 IP adresinde barındırılan bir RAR arşiv dosyasında (“Packed.rar”) bulunur.[.]70.
RAR dosyasıyla birlikte indirilen yürütülebilir dosya (“main.exe”), Golang ikili dosyasını açmak ve başlatmak için kullanılır; bu yalnızca kendisine iletilen ilk argümanın sabit kodlu bir MD5 şifre karmasıyla eşleşmesi durumunda devam eder.
Yükleyici daha sonra “NuxtSharp.Data”nın şifresini çözer ve içeriğini diskteki “File.log” adlı bir dosyaya yazar; bu dosya da dosyasız bir teknik kullanarak “Spof.Data”nın kodunu çözüp “12.log” olarak çalıştırmak üzere tasarlanmıştır. İlk kez Haziran 2021’de ortaya çıkan, süreç gölgelenmesi olarak bilinen olay.
Araştırmacılar, “Bu teknik, tasarım açısından modülerdir ve tehdit aktörünün Spof.Data yerine diğer istismar kodlarından yararlanmasına olanak tanıyacaktır” dedi. “Bu durumda, farklı bir istismar içeren Juicy.Data, File.log’u yeniden derlemeden yerinde değiştirilebilir.”
“12.log” ile ilişkili süreç, PrintSpoofer adlı açık kaynaklı bir ayrıcalık yükseltme aracına bağlanırken “Juicy.Data”, JuicyPotatoNG adlı başka bir ayrıcalık yükseltme aracıdır.
Başarılı bir ayrıcalık yükseltme işlemini, ana bilgisayarda kalıcılığı ayarlamak, Microsoft Defender’ı devre dışı bırakmak ve uzak bağlantıları kolaylaştırmak için güvenlik duvarı kurallarını değiştirmek için “user.bat” adlı bir toplu iş dosyası komut dosyasının yürütülmesi izler.
“CherryLoader [a] Araştırmacılar, “herhangi bir kodu yeniden derlemek zorunda kalmadan alternatif, kamuya açık ayrıcalık yükseltme istismarlarını patlatmak amacıyla farklı şifreleme yöntemlerinden ve diğer anti-analiz tekniklerinden yararlanan, yeni tanımlanan çok aşamalı indirici” sonucuna vardı.
Popular Articles
- 26 Jul Patent, tasarım ve marka başvurularında 2021 damgası
- 19 Jul Gazetelerde Bugün | 15 Mart Pazar
- 11 Jul Battlefield 2042 1.0 Güncellemesi Oyuna Büyük Değişiklikler Getiriyor
- 01 Aug Samsung’un Galaxy Earlybird To Go Hizmeti, Kullanıcıların Galaxy Ürünlerini Diğerlerinden 3 Gün Önce Kullanmasına İzin Veriyor
- 22 Jul Netflix, uygulama yayıncının kendi abonelik sitesine bağlantı olarak sonunda Apple Vergisinden kaçıyor
Latest Articles
- 18 Aug Samsung Galaxy S23 Ultra kamera: tüm söylentiler ve sızıntılar
- 10 Jul Rusya’da ilk kez Huawei teknolojileriyle üst düzey crossover Jetour Dasheng 2023’ü satmaya başladılar.
- 18 Aug Saadet Zinciri Kairos’a Gümrük ve Ticaret Bakanlığı’ndan Suç Duyurusu!
- 14 Jul Days Goneın Haziran Ayında Ücretsiz DLC Alacağı Açıklandı
- 12 Aug Xiaomi Mix Flip ve Mix Fold 4’ün 2024’ün 3. çeyreğinde piyasaya çıkacağı söyleniyor