Andrew Windsor og Chris Neal, forskere med Cisco Talos, har sett ny aktivitet fra Solarmarker, en .NET-basert informasjonsstjeller og keylogger som de kalte “svært modulær.”
< p> Forskerne forklarte at Solarmarker -kampanjen blir utført av “ganske sofistikerte” aktører som fokuserer sin energi på legitimasjon og gjenværende informasjonstyveri.
Andre ledetråder, som den målrettede språkkomponenten i keyloggeren, indikerer at nettangriperen har interesse for europeiske organisasjoner eller ikke har råd til å behandle tekst på andre språk enn russisk, tysk og engelsk.
“Uansett er de ikke spesielle eller overdrevent forsiktige med hensyn til hvilke ofre som er infisert med skadelig programvare. I løpet av den siste økningen i kampanjen, observerte Talos at helse-, utdannings- og kommunestyrene ble målrettet mot oftest, heter det i rapporten.
“Disse sektorene ble fulgt av en mindre gruppering av produksjonsorganisasjoner, sammen med noen få enkeltorganisasjoner i religiøse institusjoner, finansielle tjenester og konstruksjon/ingeniørvirksomhet. Til tross for det som ser ut til å være en konsentrasjon av viktologi blant noen få vertikaler, vurderer vi med moderat tillit til at denne kampanjen er ikke rettet mot noen spesifikke bransjer, i hvert fall ikke med vilje. ”
Rapporten la til at Microsoft -forskere mener Solarmarker -kampanjen bruker SEO -forgiftning for å gjøre dropperfilene sine svært synlige i søkemotorresultater, noe som potensielt kan forvride “hvilke typer organisasjoner som sannsynligvis vil støte på de ondsinnede filene, avhengig av hva som er populært populært på tiden. “
Talos -forskere advarte organisasjoner om å se etter skadelig programvare fordi modulene som observeres viser at ofre er sårbare for å “få stjålet sensitiv informasjon, ikke bare fra de enkelte ansattes nettleserbruk, for eksempel hvis de oppgir kredittkortnummeret eller annen personlig informasjon, men også de som er kritiske for organisasjonens sikkerhet, spesielt legitimasjon. “
Cisco bemerket at skadelig programvare tidligere ble brukt sammen med” dm “, men nå brukes med” Mars “-oppsettingsmodulen. Forskere oppdaget også en annen modul, tidligere urapportert, som de kalte “Uranus.”
“Talos sporer aktivt en skadelig programvare med Solarmarker informasjons-stjeler som dateres tilbake til september 2020, sa rapporten.” Noen DNS-telemetri og tilhørende aktiviteter peker til og med tilbake til april 2020. På den tiden oppdaget vi tre primære DLL-komponenter og flere varianter som bruker lignende oppførsel. “
Ifølge studien injiserer angriperne vanligvis en stager på offervert for kommando- og kontrollkommunikasjon og ytterligere ondsinnede handlinger før en andre komponent kalt” Jupyter “ble observert som ble injisert av stageren.
Da Cisco -analytikere undersøkte DLL -modulen, kalt “Jupyter”, fant de ut at den er i stand til å stjele personlig informasjon, legitimasjon og danne innsendingsverdier fra offerets Firefox- og Chrome -installasjon og brukerkataloger.
Modulen bruker HTTP POST -forespørsler for å sende informasjon til sin C2 -server. Angriperne brukte en rekke tiltak – som å inkludere flagget “CurrentUser” for databeskyttelsesomfanget i “Unprotect” -metodeanropet – for å komplisere forsøk på å dekryptere eller analysere rådataene mellom offeret og C2 -serveren.
“Jupyter informasjonsstjeller er Solarmarkers nest mest droppede modul. Under utførelsen av mange av Solarmarker-prøvene observerte vi at C2 sendte en ekstra PS1 nyttelast til offerverten,” heter det i rapporten.
“Svar fra C2 er kodet på samme måte som JSON -objektet som inneholder offerets systeminformasjon. Etter å ha reversert base64- og XOR -kodingen, skriver den denne byte -strømmen til en PS1 -fil på disken, kjører den og sletter deretter filen. Dette nye PowerShell-skriptet inneholder en base64-kodet .NET DLL, som også ble injisert gjennom .NETs reflekterende montering. “
Analytikerne observerte at iscenesetteren har nettleserform og annen informasjon som stjeler evner. Angriperne bruker også en keylogger kalt “Uran” som ble oppdaget i eldre kampanjer.
“Staging -komponenten i Solarmarker fungerer som den sentrale kjøringshubben, og muliggjør første kommunikasjon med C2 -serverne og gjør at andre ondsinnede moduler kan slippes på offerverten,” forklarte rapporten.
“Innenfor våre observerte data distribueres stager som en .NET -forsamling med navnet” d “og en enkelt kjøringsklasse med navnet” m “(referert til i denne analysen i fellesskap som” d.m “). Skadelig programvare trekker ut et antall filer til offerets verts 'AppData Local Temp' -katalog ved utførelse, inkludert en TMP -fil med samme navn som den opprinnelige nedlastede filen, og en PowerShell -skriptfil (PS1), hvorfra resten av henrettelseskjeden gyter. “
Angrepet får navnet sitt fra filskriving av “AppData Roaming solarmarker.dat”, som rapporten sa at fungerer som en identifikasjonskode for offervert.
Undersøkelsen førte forskere til en “tidligere ikke-rapportert potensiell nyttelast”, kalt “Uranus”, som de sier er avledet fra filen “Uran.PS1” som ligger på Solarmarkers infrastruktur på “on-offtrack [.] biz/get/uran.ps1. ”
Keylogger -skadelig programvare bruker en rekke verktøy i .NET runtime API for å gjøre ting som å fange brukerens tastetrykk og relevante metadata.
“For eksempel vil det se etter tilgjengelige inndataspråk og tastaturoppsett installert på offervert og legge ved ISO-koder på to bokstaver som tilleggsattributter til nøkkelloggdataene som er samlet inn. Interessant, i dette tilfellet, sjekker skuespilleren spesielt for tysk og russisk karakter. angir, før rapporten angis som en engelsk etikett, sa rapporten.
“Ekstraksjon skal skje hvert 10.000 sekund ved bruk av en søvnanrop for å forsinke Uranus hendelsesløyfe. Denne modulen bruker også HTTP POST -forespørsler som den primære kommunikasjonsmetoden med Solarmarkers C2 -infrastruktur.”
Forskerne bemerket at den generelle utførelsesflyten til Solarmarker ikke har endret seg mye mellom varianter. I de fleste tilfeller ønsker angriperne å installere en bakdør, men Talos -forskere sa at rundt slutten av mai begynte de å merke “overspenninger i ny Solarmarker -aktivitet” i telemetrien.
Den siste versjonen inneholder en justert nedlastingsmetode for den første foreldredropperen, samt oppgraderinger til en ny iscenesettelseskomponent kalt “Mars.”
“Under vår forskning på tidligere kampanjeaktivitet, trodde Talos opprinnelig at ofre lastet ned. Solarmarkers foreldre ondsinnede PE-filer gjennom generisk utseende, falske fildelingssider som er vert for gratis nettstedstjenester, men mange av dummy-kontoene hadde blitt inaktive mellom den tiden vi fant filnavnene som ble brukt av Solarmarkers droppere i telemetrien vår og forsøkte å finne nedlastingen URL-er, “skrev Cisco-forskere.
“Denne leveringsmetoden ble senere bekreftet av tredjeparts malware-analytikere i sin egen rapportering om Solarmarker. For eksempel så vi flere nedlastningssider som ble hostet under mistenkelige kontoer på Google Nettsteder. Disse koblingene leder offeret til en side som tilbyr muligheten til å last ned filen som enten en PDF- eller Microsoft Word -fil. Etter nedlastingskoblingen sender offeret flere omdirigeringer på tvers av forskjellige domener før du lander på en siste nedlastingsside. Denne generelle metoden har ikke endret seg, mange av de overordnede filnavnene finnes i våre telemetri kan bli funnet på mistenkelige websider på Google Sites, selv om skuespilleren har endret litt på de siste lokkesidene sine. “
Angriperne gjorde betydelige forbedringer på den siste nedlastingssiden i et forsøk på å få det til å se ut mer legitim.
Den siste versjonen inkluderer også et lokkeprogram, PDFSam, som er “utført i takt med resten av Solarmarkers initialisering for å fungere som feilretning for offeret ved å prøve å se ut som et legitimt dokument.”
Mens det er noen bevis i rapporten om at russisk -høyttalere opprettet Solarmarker, sa forskerne at det ikke er nok bevis for å gi høy tillit til attribusjonen.
Rapporten foreslår at organisasjoner utdanner brukere om farene ved nedlasting av risikofylte filer, i tillegg til en rekke andre tiltak som er utformet for å begrense eller blokkere de mange skriptene fra Solarmarker.
“Vi forventer at skuespilleren bak Solarmarker vil fortsette å forfine skadelig programvare og verktøy, samt skifte C2 -infrastruktur for å forlenge kampanjen i overskuelig fremtid,” heter det i rapporten.
Sikkerhet
Kaseya ransomware -angrep: Hva du trenger å vite Surfshark VPN -anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cyber security 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Sikkerhet Nettverk Tech Industry Internet of Things CXO Cloud 