Andrew Windsor en Chris Neal, onderzoekers van Cisco Talos, hebben nieuwe activiteiten gezien van Solarmarker, een op .NET gebaseerde informatie-stealer en keylogger die ze “zeer modulair” noemden.
< p>De onderzoekers legden uit dat de Solarmarker-campagne wordt uitgevoerd door “redelijk geavanceerde” actoren die hun energie richten op diefstal van referenties en resterende informatie.
Andere aanwijzingen, zoals de gerichte taalcomponent van de keylogger, geven aan dat de cyberaanvaller interesse heeft in Europese organisaties of het zich niet kan veroorloven om tekst in een andere taal dan Russisch, Duits en Engels te verwerken.
“Hoe dan ook, ze zijn niet bijzonder of overdreven voorzichtig met betrekking tot welke slachtoffers besmet zijn met hun malware. Tijdens deze recente golf van de campagne zag Talos dat de verticale sectoren van de gezondheidszorg, het onderwijs en de gemeentelijke overheden het doelwit waren van de het vaakst”, aldus het rapport.
“Deze sectoren werden gevolgd door een kleinere groepering van productieorganisaties, samen met enkele individuele organisaties in religieuze instellingen, financiële diensten en bouw/techniek. Ondanks wat een concentratie van victimologie lijkt te zijn in een paar verticale sectoren, beoordelen we met matig vertrouwen dat deze campagne is niet gericht op specifieke sectoren, althans niet opzettelijk.”
Het rapport voegde eraan toe dat Microsoft-onderzoekers geloven dat de Solarmarker-campagne SEO-vergiftiging gebruikt om hun dropper-bestanden goed zichtbaar te maken in de resultaten van zoekmachines, waardoor mogelijk wordt vertekend “welke soorten organisaties de schadelijke bestanden waarschijnlijk zullen tegenkomen, afhankelijk van wat lokaal populair is bij de tijd.”
Talos-onderzoekers waarschuwden organisaties om uit te kijken naar de malware, omdat de waargenomen modules aantonen dat slachtoffers kwetsbaar zijn voor “diefstal van gevoelige informatie, niet alleen door het browsergebruik van hun individuele werknemers, bijvoorbeeld als ze hun creditcardnummer of andere persoonlijke informatie invoeren, maar ook die die cruciaal zijn voor de beveiliging van de organisatie, met name de inloggegevens.”
Cisco merkte op dat de malware eerder naast “dm” werd gebruikt, maar nu wordt gebruikt met de staging-module “Mars”. Onderzoekers ontdekten ook een andere module, voorheen niet gerapporteerd, die ze “Uranus” noemden.
“Talos volgt actief een malwarecampagne met de Solarmarker-informatie-stealer die teruggaat tot september 2020, aldus het rapport. “Sommige DNS-telemetrie en gerelateerde activiteiten wijzen zelfs terug tot april 2020. Destijds ontdekten we drie primaire DLL-componenten en meerdere varianten die vergelijkbaar gedrag gebruiken.”
Volgens het onderzoek injecteren de aanvallers meestal een stager op de host van het slachtoffer voor commando- en controlecommunicatie en verdere kwaadaardige acties voordat een tweede component genaamd “Jupyter” werd waargenomen. door de stager.
Toen Cisco-analisten de DLL-module, genaamd “Jupyter”, onderzochten, ontdekten ze dat deze persoonlijke informatie, inloggegevens en formulierinzendingswaarden kan stelen uit de Firefox- en Chrome-installatie- en gebruikersmappen van het slachtoffer.
De module gebruikt HTTP POST-verzoeken om informatie naar zijn C2-server te verzenden. De aanvallers gebruikten verschillende maatregelen – zoals het opnemen van de “CurrentUser”-vlag voor het bereikargument voor gegevensbescherming in de “Unprotect”-methodeaanroep – om pogingen om de onbewerkte gegevens tussen het slachtoffer en de C2-server te ontsleutelen of te analyseren, te compliceren.
“De Jupyter-informatiestealer is de op één na meest gedropte module van Solarmarker. Tijdens de uitvoering van veel van de Solarmarker-samples hebben we waargenomen dat de C2 een extra PS1-payload naar de host van het slachtoffer stuurde”, aldus het rapport.
“Reacties van de C2 worden op dezelfde manier gecodeerd als het JSON-object dat de systeeminformatie van het slachtoffer bevat. Na het omkeren van de base64- en XOR-codering, schrijft het deze bytestream naar een PS1-bestand op schijf, voert het uit en verwijdert vervolgens het bestand. Dit nieuwe PowerShell-script bevat een base64-gecodeerde .NET DLL, die ook werd geïnjecteerd door het laden van reflecterende assemblages van .NET.”
De analisten merkten op dat de stager een browservorm heeft en andere mogelijkheden om informatie te stelen. De aanvallers gebruiken ook een keylogger genaamd “Uran” die in oudere campagnes is ontdekt.
“De staging-component van Solarmarker dient als de centrale uitvoeringshub, waardoor de eerste communicatie met de C2-servers wordt vergemakkelijkt en andere kwaadaardige modules op de host van het slachtoffer kunnen worden gedropt”, aldus het rapport.
“Binnen onze waargenomen gegevens wordt de stager ingezet als een .NET-assembly met de naam 'd' en een enkele uitvoerende klasse met de naam 'm' (in deze analyse gezamenlijk aangeduid als 'd.m'). De malware extraheert een aantal bestanden naar de map 'AppDataLocalTemp' van de slachtofferhost bij uitvoering, waaronder een TMP-bestand met dezelfde naam als het oorspronkelijke gedownloade bestand, en een PowerShell-scriptbestand (PS1), waaruit de rest van de executieketen spawnt.”
De aanval dankt zijn naam aan het bestand schrijven van “AppDataRoamingsolarmarker.dat”, dat volgens het rapport dient als identificatielabel voor de host van het slachtoffer.
Het onderzoek leidde onderzoekers naar een “eerder niet gerapporteerde tweede potentiële lading”, genaamd “Uranus”, die volgens hen is afgeleid van het bestand “Uran.PS1” dat wordt gehost op de infrastructuur van Solarmarker op “on-offtrack [.]biz/get/uran.ps1.”
De keylogger-malware gebruikt een verscheidenheid aan tools binnen de .NET runtime API om dingen te doen zoals de toetsaanslagen van de gebruiker en relevante metadata vastleggen.
“Het zal bijvoorbeeld zoeken naar beschikbare invoertalen en toetsenbordindelingen die op de host van het slachtoffer zijn geïnstalleerd en hun tweeletterige ISO-codes als extra attributen toevoegen aan de verzamelde keylogging-gegevens. Interessant is dat de acteur in dit geval specifiek controleert op Duitse en Russische karakters sets, voordat ze standaard een Engels label gebruiken, aldus het rapport.
“Extractie vindt elke 10.000 seconden plaats met behulp van een thread-slaapoproep om de gebeurtenislus van Uranus te vertragen. Deze module gebruikt ook HTTP POST-verzoeken als primaire communicatiemethode met de C2-infrastructuur van Solarmarker.”
De onderzoekers merkten op. dat de algemene uitvoeringsstroom van Solarmarker niet veel is veranderd tussen varianten. In de meeste gevallen willen aanvallers een achterdeur installeren, maar Talos-onderzoekers zeiden dat ze rond eind mei “stijgingen van nieuwe Solarmarker-activiteit” in hun telemetrie begonnen op te merken.
De nieuwste versie bevat een aangepaste downloadmethode van de oorspronkelijke bovenliggende dropper en upgrades naar een nieuwe faseringscomponent met de naam 'Mars'.
“Tijdens ons onderzoek naar eerdere campagne-activiteit geloofde Talos aanvankelijk dat slachtoffers aan het downloaden waren Solarmarker's ouder schadelijke PE-bestanden via generiek ogende, valse pagina's voor het delen van bestanden die worden gehost op gratis siteservices, maar veel van de dummy-accounts waren inactief geworden tussen de tijd dat we de bestandsnamen ontdekten die door de droppers van Solarmarker in onze telemetrie werden gebruikt en een poging om hun download te vinden URL's”, schreven Cisco-onderzoekers.
“Deze leveringsmethode werd later bevestigd door externe malware-analisten in hun eigen rapportage over Solarmarker. We zagen bijvoorbeeld dat verschillende downloadpagina's werden gehost onder verdachte accounts op Google Sites. Deze links leiden het slachtoffer naar een pagina met de mogelijkheid om download het bestand als een PDF- of Microsoft Word-bestand. Door de downloadlink te volgen, wordt het slachtoffer door meerdere omleidingen naar verschillende domeinen gestuurd voordat het op een laatste downloadpagina terechtkomt. Deze algemene methode is niet veranderd, veel van de bovenliggende bestandsnamen die in onze telemetrie is te vinden op verdachte webpagina's die worden gehost op Google Sites, hoewel de acteur de uiteindelijke lokpagina's een beetje heeft gewijzigd.”
De aanvallers hebben aanzienlijke verbeteringen aangebracht aan de uiteindelijke downloadpagina in een poging om het eruit te laten zien legitiemer.
De nieuwste versie bevat ook een lokprogramma, PDFSam, dat “samen met de rest van de initialisatie van Solarmarker wordt uitgevoerd om het slachtoffer te misleiden door te proberen eruit te zien als een legitiem document.”
Terwijl dat wel zo is. enig bewijs in het rapport dat Russisch sprekenden Solarmarker hebben gemaakt, zeiden de onderzoekers dat er niet genoeg bewijs is om veel vertrouwen toe te kennen aan de toeschrijving.
Het rapport suggereert dat organisaties gebruikers informeren over de gevaren van het downloaden van risicovolle bestanden, evenals een groot aantal andere maatregelen die zijn ontworpen om de uitvoering van de talloze scripts van Solarmarker te beperken of te blokkeren.
“We verwachten dat de acteur achter Solarmarker zijn malware en tools blijft verfijnen en zijn C2-infrastructuur afwisselt om zijn campagne in de nabije toekomst te verlengen”, voegde het rapport eraan toe.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Beveiliging Netwerken Tech Industrie Internet of Things CXO Cloud 