innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

警戒必至!「CherryLoader」偽装マルウェア、権限昇格攻撃を展開

警戒必至!「CherryLoader」偽装マルウェア、権限昇格攻撃を展開 - innovaTopia - (イノベトピア)

Last Updated on 2024-10-29 22:10 by admin

【ダイジェスト】

サイバーセキュリティの世界では、新たな脅威が絶えず出現しています。最近、Arctic Wolf Labsの研究者たちが「CherryLoader」と名付けられた新種のマルウェアローダーを発見しました。このマルウェアは、正規のノートアプリ「CherryTree」に偽装しており、ユーザーがインストールすると、権限昇格(PrivEsc)のエクスプロイトを配布するために使用されます。

CherryLoaderは、特に「PrintSpoofer」や「JuicyPotatoNG」といった権限昇格ツールをドロップし、バッチファイルを実行して被害者のデバイスに永続性を確立します。さらに、このマルウェアはモジュール化された機能を備えており、脅威アクターがコードを再コンパイルすることなくエクスプロイトを交換できるようになっています。

配布方法はまだ明らかにされていませんが、サイバーセキュリティ会社が調査した攻撃チェーンによると、CherryLoader(”cherrytree.exe”)と関連ファイルは、IPアドレス141.11.187[.]70にホストされたRARアーカイブファイル(”Packed.rar”)内に含まれています。RARファイルと共にダウンロードされる実行可能ファイル(”main.exe”)は、Golangバイナリを解凍して起動するために使用され、ハードコードされたMD5パスワードハッシュと一致する最初の引数が渡された場合にのみ進行します。

その後、ローダーは”NuxtSharp.Data”を復号化し、ディスク上の”File.log”という名前のファイルにその内容を書き込みます。これは、プロセスゴースティングと呼ばれるファイルレス技術を使用して”Spof.Data”を”12.log”としてデコードして実行するように設計されています。この技術はモジュラー設計であり、脅威アクターがSpof.Dataの代わりに他のエクスプロイトコードを活用できるようになっています。

“12.log”に関連付けられたプロセスは、PrintSpooferというオープンソースの権限昇格ツールにリンクしており、”Juicy.Data”はJuicyPotatoNGという別の権限昇格ツールです。権限昇格に成功すると、「user.bat」というバッチファイルスクリプトが実行され、ホスト上で永続性を設定し、Microsoft Defenderを無効にします。

研究者たちは、CherryLoaderが異なる暗号化方法やその他のアンチアナリシス技術を活用する多段階ダウンローダーであり、コードを再コンパイルすることなく、公開されている権限昇格エクスプロイトを起動する試みであると結論付けています。

サイバーセキュリティに関する最新の情報や知見を得るためには、専門家の分析や研究に常に注目し、適切な対策を講じることが重要です。新たな脅威が発見されるたびに、それに対抗するためのセキュリティ対策も進化し続けているのです。

【ニュース解説】

サイバーセキュリティの分野で新たな脅威が発見されました。Arctic Wolf Labsの研究者たちが「CherryLoader」と名付けたこの新種のマルウェアローダーは、見た目や名前が正規のノートアプリ「CherryTree」に似ているため、ユーザーが騙されてインストールする危険があります。インストールされると、CherryLoaderは権限昇格(PrivEsc)のエクスプロイトを配布し、被害者のデバイスに永続性を確立するためのバッチファイルを実行します。

このマルウェアはモジュール化された機能を持っており、脅威アクターがコードを再コンパイルすることなく、異なるエクスプロイトを使用できるように設計されています。具体的には、PrintSpooferやJuicyPotatoNGといった既存の権限昇格ツールを利用し、攻撃者はこれらのツールを使ってシステム上でより高い権限を得ることができます。これにより、攻撃者は被害者のデバイスを完全に制御下に置くことが可能になります。

CherryLoaderの配布方法はまだ完全には解明されていませんが、RARアーカイブファイルに含まれ、特定のIPアドレスからダウンロードされることが分かっています。このマルウェアは、特定のMD5パスワードハッシュに一致する引数が渡された場合にのみ活動を開始し、ファイルレス技術であるプロセスゴースティングを利用して、ディスクに書き込まれることなくメモリ上で実行されます。

このような複雑な手法を用いることで、CherryLoaderは検出を避けつつ、さまざまな攻撃を展開することができます。また、Microsoft Defenderなどのセキュリティソフトウェアを無効にすることで、さらに攻撃を進めやすくしています。

このニュースは、サイバーセキュリティの専門家や組織にとって重要な意味を持ちます。新しい脅威に迅速に対応し、防御策を更新する必要があるからです。また、一般ユーザーにとっても、信頼できるソースからのみソフトウェアをダウンロードし、定期的なセキュリティアップデートを行うことの重要性を再認識する機会となります。

ポジティブな側面としては、このような脅威の発見がセキュリティコミュニティによる継続的な監視と研究の成果であり、将来的な攻撃を防ぐための知識として役立つことです。一方で、潜在的なリスクとしては、このマルウェアが広く配布され、多くのデバイスが危険にさらされる可能性があります。

長期的な視点では、マルウェアの進化に対応するためには、セキュリティソフトウェアの開発者だけでなく、エンドユーザーもセキュリティ意識を高め、常に警戒を怠らないことが求められます。また、企業や組織は、従業員へのセキュリティ教育を強化し、インシデントレスポンスプランを整備することで、このような脅威に対する備えを強化する必要があります。

from New CherryLoader Malware Mimics CherryTree to Deploy PrivEsc Exploits.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 警戒必至!「CherryLoader」偽装マルウェア、権限昇格攻撃を展開

Latest News