Andrew Windsor e Chris Neal, ricercatori di Cisco Talos, hanno visto nuove attività da Solarmarker, un ladro di informazioni e keylogger basato su .NET che hanno definito “altamente modulare”.
< p>I ricercatori hanno spiegato che la campagna Solarmarker è condotta da attori “abbastanza sofisticati” che concentrano le loro energie sul furto di credenziali e informazioni residue.
Altri indizi, come la componente linguistica mirata del keylogger, indicano che il cyberattaccante ha un interesse per le organizzazioni europee o non può permettersi di elaborare testi in lingue diverse da russo, tedesco e inglese.
“Indipendentemente da ciò, non sono particolarmente attenti o eccessivamente attenti a quali vittime sono state infettate dal loro malware. Durante questa recente ondata della campagna, Talos ha osservato che i verticali dell'assistenza sanitaria, dell'istruzione e dei governi municipali sono stati presi di mira dal il più delle volte”, afferma il rapporto.
“Questi settori sono stati seguiti da un gruppo più piccolo di organizzazioni manifatturiere, insieme a poche organizzazioni individuali in istituzioni religiose, servizi finanziari e costruzioni/ingegneria. Nonostante quella che sembra essere una concentrazione di vittimologia tra alcuni verticali, valutiamo con moderata fiducia che questa campagna non si rivolge a nessun settore specifico, almeno non intenzionalmente”.
Il rapporto ha aggiunto che i ricercatori Microsoft ritengono che la campagna Solarmarker stia utilizzando l'avvelenamento SEO per rendere i loro file contagocce altamente visibili nei risultati dei motori di ricerca, potenzialmente distorcendo “quali tipi di organizzazioni potrebbero imbattersi nei file dannosi a seconda di ciò che è topicamente popolare a il tempo.”
I ricercatori di Talos hanno avvertito le organizzazioni di prestare attenzione al malware perché i moduli osservati mostrano che le vittime sono vulnerabili “al furto di informazioni sensibili, non solo dall'utilizzo del browser dei singoli dipendenti, ad esempio se inseriscono il numero della carta di credito o altre informazioni personali, ma anche quelli critici per la sicurezza dell'organizzazione, in particolare le credenziali.”
Cisco ha notato che il malware era precedentemente utilizzato insieme a “dm”, ma ora viene utilizzato con il modulo di staging “Mars”. I ricercatori hanno anche scoperto un altro modulo, precedentemente non segnalato, che hanno chiamato “Urano”.
“Talos sta monitorando attivamente una campagna di malware con il ladro di informazioni Solarmarker che risale a settembre 2020, afferma il rapporto. “Alcuni dati di telemetria DNS e attività correlate risalgono addirittura ad aprile 2020. All'epoca, abbiamo scoperto tre componenti DLL principali e più varianti che utilizzano un comportamento simile.”
Secondo lo studio, gli aggressori in genere iniettano uno stager sull'host della vittima per comunicazioni di comando e controllo e ulteriori azioni dannose prima che venga osservato un secondo componente chiamato “Jupyter”. dallo stager.
Quando gli analisti Cisco hanno esaminato il modulo DLL, denominato “Jupyter”, hanno scoperto che è in grado di rubare informazioni personali, credenziali e valori di invio dei moduli dall'installazione di Firefox e Chrome e dalle directory utente della vittima.
Il modulo utilizza le richieste HTTP POST per inviare informazioni al proprio server C2. Gli aggressori hanno utilizzato una serie di misure, come l'inclusione del flag “CurrentUser” per l'argomento dell'ambito della protezione dei dati nella chiamata al metodo “Unprotect”, per complicare i tentativi di decrittografare o analizzare i dati grezzi tra la vittima e il server C2.
“Il ladro di informazioni Jupyter è il secondo modulo più abbandonato di Solarmarker. Durante l'esecuzione di molti dei campioni di Solarmarker, abbiamo osservato che C2 inviava un payload PS1 aggiuntivo all'host vittima”, afferma il rapporto.
“Le risposte dal C2 sono codificate allo stesso modo dell'oggetto JSON contenente le informazioni di sistema della vittima. Dopo aver invertito la codifica base64 e XOR, scrive questo flusso di byte su un file PS1 su disco, lo esegue e successivamente elimina il file. Questo nuovo script di PowerShell contiene una DLL .NET con codifica base64, che è stata iniettata anche tramite il caricamento dell'assembly riflettente di .NET.”
Gli analisti hanno osservato che lo stager ha un modulo browser e altre capacità di furto di informazioni. Gli aggressori utilizzano anche un keylogger chiamato “Uran” che è stato scoperto in campagne precedenti.
“Il componente di staging di Solarmarker funge da hub di esecuzione centrale, facilitando le comunicazioni iniziali con i server C2 e consentendo ad altri moduli dannosi di essere rilasciati sull'host vittima”, ha spiegato il rapporto.
“All'interno dei nostri dati osservati, lo stager viene distribuito come un assembly .NET denominato 'd' e una singola classe di esecuzione denominata 'm' (indicata congiuntamente in questa analisi come 'd.m'). Il malware estrae una serie di file nella directory “AppDataLocalTemp” dell'host della vittima, incluso un file TMP con lo stesso nome del file scaricato originale e un file di script PowerShell (PS1), da cui il resto di la catena di esecuzione si genera.”
L'attacco prende il nome dalla scrittura del file “AppDataRoamingsolarmarker.dat”, che secondo il rapporto funge da tag di identificazione dell'host della vittima.
L'indagine ha portato i ricercatori a un “secondo potenziale carico utile precedentemente non segnalato”, chiamato “Uranus”, che secondo loro deriva dal file “Uran.PS1” che è ospitato sull'infrastruttura di Solarmarker in “on-offtrack”. [.]biz/get/uran.ps1.”
Il malware keylogger utilizza una varietà di strumenti all'interno dell'API runtime .NET per eseguire operazioni come acquisire le sequenze di tasti dell'utente e i relativi metadati.
“Ad esempio, cercherà le lingue di input disponibili e i layout di tastiera installati sull'host della vittima e allegherà i loro codici ISO di due lettere come attributi aggiuntivi ai dati di keylogging raccolti. È interessante notare che in questo caso l'attore controlla specificamente il carattere tedesco e russo imposta, prima di passare a un'etichetta inglese, diceva il rapporto.
“L'estrazione è impostata per verificarsi ogni 10.000 secondi utilizzando una chiamata di sospensione del thread per ritardare il ciclo di eventi di Urano. Questo modulo utilizza anche le richieste HTTP POST come metodo principale di comunicazione con l'infrastruttura C2 di Solarmarker.”
I ricercatori hanno notato che il flusso di esecuzione generale di Solarmarker non è cambiato molto tra le varianti. Nella maggior parte dei casi, gli aggressori vogliono installare una backdoor, ma i ricercatori di Talos hanno affermato che verso la fine di maggio hanno iniziato a notare “impennate di nuova attività di Solarmarker” nella loro telemetria.
L'ultima versione presenta un metodo di download ottimizzato del contagocce genitore iniziale e aggiornamenti a un nuovo componente di stadiazione chiamato “Mars”.
“Durante la nostra ricerca sull'attività della campagna precedente, Talos inizialmente credeva che le vittime stessero scaricando File PE dannosi del genitore di Solarmarker attraverso pagine di condivisione file false dall'aspetto generico ospitate su servizi gratuiti del sito, ma molti degli account fittizi erano diventati inattivi tra il momento in cui abbiamo trovato i nomi dei file utilizzati dai contagocce di Solarmarker nella nostra telemetria e il tentativo di trovare il loro download URL”, hanno scritto i ricercatori Cisco.
“Questo metodo di consegna è stato successivamente confermato da analisti di malware di terze parti nei propri rapporti su Solarmarker. Ad esempio, abbiamo visto diverse pagine di download ospitate in account sospetti su Google Sites. Questi collegamenti indirizzano la vittima a una pagina che offre la possibilità di scaricare il file come file PDF o Microsoft Word. Seguendo il collegamento per il download, la vittima viene inviata tramite reindirizzamenti multipli su vari domini prima di atterrare su una pagina di download finale. Questa metodologia generale non è cambiata, molti dei nomi di file principali trovati nel nostro la telemetria può essere trovata su pagine Web sospette ospitate su Google Sites, anche se l'attore ha leggermente modificato le pagine di richiamo finali.”
Gli aggressori hanno apportato miglioramenti significativi alla pagina di download finale nel tentativo di farla sembrare più legittimo.
L'ultima versione include anche un programma di esca, PDFSam, che viene “eseguito in tandem con il resto dell'inizializzazione di Solarmarker per fungere da depistaggio per la vittima cercando di sembrare un documento legittimo.”
Mentre c'è alcune prove nel rapporto che i russofoni hanno creato Solarmarker, i ricercatori hanno affermato che non ci sono prove sufficienti per assegnare un'elevata fiducia all'attribuzione.
Il rapporto suggerisce alle organizzazioni di informare gli utenti sui pericoli del download di file rischiosi e su una serie di altre misure progettate per limitare o bloccare l'esecuzione dei numerosi script di Solarmarker.
“Ci aspettiamo che l'attore dietro Solarmarker continui a perfezionare i propri malware e strumenti, nonché ad alternare la propria infrastruttura C2, al fine di prolungare la propria campagna per il prossimo futuro”, ha aggiunto il rapporto.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Sicurezza Networking Settore tecnologico Internet delle cose CXO Cloud 