Andrew Windsor og Chris Neal, forskere med Cisco Talos, har set ny aktivitet fra Solarmarker, en .NET-baseret informationsstealer og keylogger, som de kaldte “stærkt modulær.”
< p> Forskerne forklarede, at Solarmarker -kampagnen udføres af “temmelig sofistikerede” aktører, der fokuserer deres energi på legitimation og resterende informationstyveri.
Andre spor, som f.eks. Keyloggerens målsprogskomponent, indikerer, at cyberangriberen har interesse i europæiske organisationer eller ikke har råd til at behandle tekst på andre sprog end russisk, tysk og engelsk.
“Uanset hvad, de er ikke særlige eller overdrevent forsigtige med hensyn til, hvilke ofre der er inficeret med deres malware. Under denne nylige stigning i kampagnen observerede Talos, at sundhedspleje, uddannelse og kommunale regeringer blev målrettet mod oftest, “hedder det i rapporten.
“Disse sektorer blev efterfulgt af en mindre gruppe af fremstillingsorganisationer sammen med et par enkelte organisationer i religiøse institutioner, finansielle tjenester og byggeri/teknik. På trods af, hvad der synes at være en koncentration af viktologi blandt nogle få vertikaler, vurderer vi med moderat tillid til, at denne kampagne er ikke målrettet mod bestemte brancher, i hvert fald ikke med vilje. ”
Rapporten tilføjede, at Microsoft -forskere mener, at Solarmarker -kampagnen bruger SEO -forgiftning for at gøre deres dropper -filer meget synlige i søgemaskineresultater og potentielt skævt “hvilke typer organisationer der sandsynligvis vil støde på de ondsindede filer afhængigt af, hvad der er topisk populært på tidspunktet. “
Talos -forskere advarede organisationer om at passe på malware, fordi de observerede moduler viser, at ofre er sårbare over for “at få stjålet følsomme oplysninger, ikke kun fra deres individuelle medarbejderes browserbrug, f.eks. Hvis de indtaster deres kreditkortnummer eller andre personlige oplysninger, men også dem, der er kritiske for organisationens sikkerhed, især legitimationsoplysninger. “
Cisco bemærkede, at malware tidligere blev brugt sammen med” dm “, men nu bruges sammen med” Mars “, iscenesættelsesmodulet. Forskere opdagede også et andet modul, der tidligere ikke blev rapporteret, som de kaldte “Uranus.”
“Talos sporer aktivt en malware-kampagne med Solarmarker information-stjæler, der går tilbage til september 2020, sagde rapporten.” Nogle DNS-telemetri og relateret aktivitet peger endda tilbage til april 2020. På det tidspunkt opdagede vi tre primære DLL-komponenter og flere varianter, der anvender lignende adfærd. “
Ifølge undersøgelsen injicerer angriberne typisk en stager på offerværten til kommando- og kontrolkommunikation og yderligere ondsindede handlinger, inden en anden komponent kaldet” Jupyter “blev observeret injiceret af stager.
Da Cisco -analytikere undersøgte DLL -modulet, kaldet “Jupyter”, fandt de ud af, at det er i stand til at stjæle personlige oplysninger, legitimationsoplysninger og danne indsendelsesværdier fra offerets Firefox- og Chrome -installation og brugermapper.
Modulet bruger HTTP POST -anmodninger til at sende oplysninger til sin C2 -server. Angriberne brugte en række foranstaltninger – som at inkludere “CurrentUser” -flaget til argumentet om databeskyttelse i “Unprotect” -metodeopkald – for at komplicere forsøg på at dekryptere eller analysere rådataene mellem offeret og C2 -serveren.
“Jupyters informationsstjæler er Solarmarkers næstmest faldende modul. Under udførelsen af mange af Solarmarker-prøverne observerede vi, at C2 sendte en ekstra PS1 nyttelast til offerværten,” hedder det i rapporten.
“Svar fra C2 er kodet på samme måde som JSON-objektet, der indeholder offerets systeminformation. Efter at have vendt base64- og XOR-kodning, skriver den denne byte-stream til en PS1-fil på disken, kører den og sletter derefter filen. Dette nye PowerShell-script indeholder en base64-kodet .NET DLL, som også blev injiceret gennem .NET's reflekterende samling. “
Analytikerne bemærkede, at iscenesættelsen har browserform og andre informationstyveringsmuligheder. Angriberne bruger også en keylogger kaldet “Uran”, der blev opdaget i ældre kampagner.
“Iscenesættelseskomponenten i Solarmarker fungerer som det centrale eksekveringshub, der letter indledende kommunikation med C2 -serverne og gør det muligt at tabe andre ondsindede moduler på offerværten,” forklarede rapporten.
“Inden for vores observerede data indsættes stager som en .NET -samling med navnet 'd' og en enkelt udførende klasse med navnet 'm' (i denne analyse i fællesskab omtalt som 'd.m'). Malwaren udtrækker et antal filer til offerværtets 'AppData Local Temp' -bibliotek ved udførelse, herunder en TMP -fil med samme navn som den originale downloadede fil og en PowerShell -scriptfil (PS1), hvorfra resten af henrettelseskæden gyder. “
Angrebet får sit navn fra filskrivningen af ”AppData Roaming solarmarker.dat”, som rapporten sagde, fungerer som et identitetskode for offervært.
Undersøgelsen førte forskere til en “tidligere ikke-rapporteret anden potentiel nyttelast”, kaldet “Uranus”, som de siger stammer fra filen “Uran.PS1”, der er hostet på Solarmarkers infrastruktur på “on-offtrack [.] biz/get/uran.ps1. ”
Keylogger -malware bruger en række forskellige værktøjer inden for .NET runtime API til at gøre ting som f.eks. at fange brugerens tastetryk og relevante metadata.
“For eksempel vil den lede efter tilgængelige inputsprog og tastaturlayout installeret på offerværten og vedhæfte deres ISO -koder på to bogstaver som yderligere attributter til de indsamlede keylogging -data. Interessant nok kontrollerer skuespilleren specifikt tysk og russisk karakter sætter, før rapporten blev standardiseret til en engelsk etiket, sagde rapporten.
“Udtrækning er indstillet til at forekomme hvert 10.000 sekund ved hjælp af et trådsøvnopkald for at forsinke Uranus 'event loop. Dette modul bruger også HTTP POST -anmodninger som den primære kommunikationsmetode med Solarmarkers C2 -infrastruktur.”
Forskerne bemærkede at den generelle udførelsesstrøm for Solarmarker ikke har ændret sig meget mellem varianter. I de fleste tilfælde ønsker angribere at installere en bagdør, men Talos -forskere sagde, at de omkring slutningen af maj begyndte at bemærke “stigninger i ny Solarmarker -aktivitet” i deres telemetri.
Den seneste version indeholder en tweaked download -metode til den oprindelige forældredropper samt opgraderinger til en ny iscenesættelseskomponent kaldet “Mars.”
“Under vores forskning om tidligere kampagneaktivitet troede Talos i første omgang, at ofre downloadede Solarmarkers forælder ondsindede PE-filer gennem generiske udseende, falske fildelingssider, der er hostet på tværs af gratis webstedstjenester, men mange af dummy-kontiene var blevet inaktive mellem det tidspunkt, hvor vi fandt de filnavne, der blev brugt af Solarmarkers droppers i vores telemetri, og forsøg på at finde deres download URL'er, “skrev Cisco -forskere.
“Denne leveringsmetode blev senere bekræftet af tredjeparts malware-analytikere i deres egen rapportering om Solarmarker. For eksempel så vi, at flere download-sider blev hostet under mistænkelige konti på Google Sites. Disse links leder offeret til en side, der tilbyder muligheden for at download filen som enten en PDF- eller Microsoft Word -fil. Efter downloadlinket sender offeret igennem flere omdirigeringer på tværs af forskellige domæner, før de lander på en sidste downloadside. Denne generelle metode har ikke ændret sig, mange af de overordnede filnavne findes i vores telemetri kan findes på mistænkelige websider, der er hostet på Google Sites, selvom skuespilleren har ændret deres sidste lokkesider lidt. “
Angriberne foretog betydelige forbedringer af den sidste downloadside i et forsøg på at få det til at se ud mere legitim.
Den seneste version indeholder også et lokkeprogram, PDFSam, som “udføres i takt med resten af Solarmarkers initialisering for at fungere som fejlretning for offeret ved at forsøge at ligne et legitimt dokument.”
Mens der er nogle beviser i rapporten om, at russisk -højttalere skabte Solarmarker, sagde forskerne, at der ikke er nok beviser til at tilskrive attributten stor tillid.
Rapporten foreslår, at organisationer uddanner brugere om farerne ved at downloade risikable filer såvel som en række andre foranstaltninger, der er designet til at begrænse eller blokere Solarmarkers mange scripts fra at blive udført.
“Vi forventer, at aktøren bag Solarmarker fortsætter med at forfine deres malware og værktøjer samt skifte deres C2 -infrastruktur for at forlænge deres kampagne i en overskuelig fremtid,” tilføjede rapporten.
Sikkerhed
Kaseya ransomware -angreb: Hvad du har brug for at vide Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Sikkerhed Netværk Tech Industry Internet of Things CXO Cloud 