Andrew Windsor und Chris Neal, Forscher bei Cisco Talos, haben neue Aktivitäten von Solarmarker gesehen, einem .NET-basierten Informations-Stealer und Keylogger, den sie als “hochmodular” bezeichneten.
< p>Die Forscher erklärten, dass die Solarmarker-Kampagne von „ziemlich erfahrenen“ Akteuren durchgeführt wird, die ihre Energie auf den Diebstahl von Anmeldeinformationen und Restinformationen konzentrieren.
Andere Hinweise, wie die gezielte Sprachkomponente des Keyloggers, deuten darauf hin, dass der Cyber-Angreifer ein Interesse an europäischen Organisationen hat oder es sich nicht leisten kann, Texte in anderen Sprachen als Russisch, Deutsch und Englisch zu verarbeiten.
“Ungeachtet dessen sind sie nicht besonders vorsichtig oder achten nicht besonders darauf, welche Opfer mit ihrer Malware infiziert sind. Während dieser jüngsten Welle der Kampagne beobachtete Talos, dass die Branchen Gesundheitswesen, Bildung und Kommunalverwaltungen auf die am häufigsten”, heißt es in dem Bericht.
„Auf diese Sektoren folgte eine kleinere Gruppe von produzierenden Organisationen, zusammen mit einigen einzelnen Organisationen in religiösen Einrichtungen, Finanzdienstleistungen und Bau/Ingenieurwesen. Trotz der scheinbaren Konzentration der Viktimologie auf einige wenige Branchen sind wir mit mäßiger Sicherheit der Meinung, dass diese Kampagne zielt zumindest nicht absichtlich auf bestimmte Branchen ab.”
Der Bericht fügte hinzu, dass Microsoft-Forscher glauben, dass die Solarmarker-Kampagne SEO-Poisoning verwendet, um ihre Dropper-Dateien in den Suchmaschinenergebnissen gut sichtbar zu machen, was möglicherweise verzerrt, „welche Arten von Organisationen wahrscheinlich auf die bösartigen Dateien stoßen, je nachdem, was aktuell beliebt ist die Zeit.”
Talos-Forscher warnten Unternehmen, nach der Malware Ausschau zu halten, da die beobachteten Module zeigen, dass Opfer anfällig dafür sind, „sensible Informationen gestohlen zu bekommen, nicht nur durch die Browsernutzung ihrer einzelnen Mitarbeiter, wie z. aber auch diejenigen, die für die Sicherheit des Unternehmens kritisch sind, insbesondere Anmeldeinformationen.”
Cisco stellte fest, dass die Malware früher zusammen mit “dm” verwendet wurde, jetzt aber mit dem Staging-Modul “Mars”. Die Forscher entdeckten auch ein anderes, bisher nicht gemeldetes Modul, das sie “Uranus” nannten.
„Talos verfolgt aktiv eine Malware-Kampagne mit dem Solarmarker-Informationsstealer aus dem September 2020, heißt es in dem Bericht. „Einige DNS-Telemetrie und damit verbundene Aktivitäten weisen sogar auf April 2020 zurück Varianten, die ein ähnliches Verhalten verwenden.”
Laut der Studie injizieren die Angreifer typischerweise einen Stager auf den Host des Opfers für die Befehls- und Kontrollkommunikation und weitere böswillige Aktionen, bevor beobachtet wurde, dass eine zweite Komponente namens “Jupyter” injiziert wurde vom Stager.
Als Cisco-Analysten das DLL-Modul mit dem Namen “Jupyter” untersuchten, stellten sie fest, dass es in der Lage ist, persönliche Informationen, Anmeldeinformationen und Formularübermittlungswerte aus den Firefox- und Chrome-Installations- und Benutzerverzeichnissen des Opfers zu stehlen.
Das Modul verwendet HTTP-POST-Anforderungen, um Informationen an seinen C2-Server zu senden. Die Angreifer verwendeten eine Vielzahl von Maßnahmen – wie das Einfügen des “CurrentUser”-Flags für das Datenschutz-Scope-Argument im “Unprotect”-Methodenaufruf -, um Versuche zu erschweren, die Rohdaten zwischen dem Opfer und dem C2-Server zu entschlüsseln oder zu analysieren.
„Der Jupyter Information Stealer ist das Modul, das am zweithäufigsten von Solarmarker gelöscht wurde. Während der Ausführung vieler Solarmarker-Beispiele haben wir beobachtet, dass C2 eine zusätzliche PS1-Nutzlast an den Opferhost sendet“, heißt es in dem Bericht.
“Antworten von C2 werden auf die gleiche Weise codiert wie das JSON-Objekt, das die Systeminformationen des Opfers enthält. Nach der Umkehrung der Base64- und XOR-Codierung schreibt es diesen Bytestream in eine PS1-Datei auf der Festplatte, führt sie aus und löscht anschließend die Datei. Dieses neue PowerShell-Skript enthält eine base64-codierte .NET-DLL, die auch durch das reflektierende Laden von .NET-Assemblys injiziert wurde.”
Die Analysten stellten fest, dass der Stager über Browserform- und andere Funktionen zum Stehlen von Informationen verfügt. Die Angreifer verwenden auch einen Keylogger namens “Uran”, der in älteren Kampagnen entdeckt wurde.
“Die Staging-Komponente von Solarmarker dient als zentraler Ausführungshub, erleichtert die anfängliche Kommunikation mit den C2-Servern und ermöglicht das Ablegen anderer bösartiger Module auf dem Opferhost”, erklärte der Bericht.
“In unseren beobachteten Daten wird der Stager als .NET-Assembly mit dem Namen “d” und einer einzelnen ausführenden Klasse namens “m” (in dieser Analyse gemeinsam als “d.m” bezeichnet) bereitgestellt. Die Malware extrahiert bei der Ausführung eine Reihe von Dateien in das Verzeichnis „AppDataLocalTemp“ des Opferhosts, darunter eine TMP-Datei mit demselben Namen wie die ursprünglich heruntergeladene Datei und eine PowerShell-Skriptdatei (PS1), aus der der Rest von die Ausführungskette erscheint.”
Der Angriff erhält seinen Namen von der Datei “AppDataRoamingsolarmarker.dat”, die laut Bericht als Host-Identifikations-Tag des Opfers dient.
Die Untersuchung führte die Forscher zu einer “zuvor nicht gemeldeten zweiten potenziellen Nutzlast” namens “Uranus”, von der sie sagen, dass sie aus der Datei “Uran.PS1” stammt, die auf der Infrastruktur von Solarmarker bei “on-offtrack” gehostet wird [.]biz/get/uran.ps1.”
Die Keylogger-Malware verwendet eine Vielzahl von Tools innerhalb der .NET-Laufzeit-API, um beispielsweise die Tastenanschläge des Benutzers und relevante Metadaten zu erfassen.
„Es wird beispielsweise nach verfügbaren Eingabesprachen und Tastaturlayouts suchen, die auf dem Host des Opfers installiert sind, und deren zweistellige ISO-Codes als zusätzliche Attribute an die gesammelten Keylogging-Daten anhängen. Interessanterweise prüft der Akteur in diesem Fall speziell auf deutsche und russische Zeichen setzt, bevor standardmäßig ein englisches Label verwendet wird, heißt es im Bericht.
“Die Extraktion soll alle 10.000 Sekunden mit einem Thread-Sleep-Aufruf erfolgen, um die Ereignisschleife von Uranus zu verzögern. Dieses Modul verwendet auch HTTP-POST-Anfragen als seine primäre Methode zur Kommunikation mit der C2-Infrastruktur von Solarmarker.”
Die Forscher stellten fest dass sich der allgemeine Ausführungsfluss von Solarmarker zwischen den Varianten nicht wesentlich geändert hat. In den meisten Fällen wollen Angreifer eine Hintertür installieren, aber die Talos-Forscher sagten, dass sie gegen Ende Mai begannen, in ihren Telemetriedaten “Anstiege neuer Solarmarker-Aktivitäten” zu bemerken.
Die neueste Version bietet eine optimierte Download-Methode des ursprünglichen übergeordneten Dropper sowie Upgrades auf eine neue Staging-Komponente namens “Mars”.
“Bei unseren Recherchen zu früheren Kampagnenaktivitäten glaubte Talos zunächst, dass die Opfer heruntergeladen wurden Die bösartigen PE-Dateien von Solarmarker über generisch aussehende, gefälschte File-Sharing-Seiten, die auf kostenlosen Site-Diensten gehostet werden, aber viele der Dummy-Konten waren inaktiv geworden, nachdem wir die Dateinamen der Dropper von Solarmarker in unserer Telemetrie gefunden hatten und versuchten, ihren Download zu finden URLs”, schrieben Cisco-Forscher.
„Diese Übermittlungsmethode wurde später von Malware-Analysten von Drittanbietern in ihren eigenen Berichten über Solarmarker bestätigt. Wir haben beispielsweise gesehen, dass mehrere Download-Seiten unter verdächtigen Konten auf Google Sites gehostet wurden. Diese Links führen das Opfer zu einer Seite, die die Möglichkeit bietet, Laden Sie die Datei entweder als PDF- oder Microsoft Word-Datei herunter. Wenn Sie dem Download-Link folgen, wird das Opfer durch mehrere Weiterleitungen über verschiedene Domänen geleitet, bevor es auf einer endgültigen Download-Seite landet. Diese allgemeine Methode hat sich nicht geändert, viele der übergeordneten Dateinamen finden Sie in unserer Telemetrie kann auf verdächtigen Webseiten gefunden werden, die auf Google Sites gehostet werden, obwohl der Schauspieler die letzten Köderseiten ein wenig geändert hat.”
Die Angreifer haben die endgültige Download-Seite erheblich verbessert, um das Aussehen zu verbessern legitimer.
Die neueste Version enthält auch ein Lockvogelprogramm, PDFSam, das “zusammen mit dem Rest der Solarmarker-Initialisierung ausgeführt wird, um als Irreführung für das Opfer zu fungieren, indem es versucht, wie ein legitimes Dokument auszusehen.”
Es gibt zwar Einige Beweise in dem Bericht, dass Russischsprachige Solarmarker entwickelt haben, sagten die Forscher, dass es nicht genügend Beweise gibt, um der Zuschreibung ein hohes Vertrauen zuzuordnen.
Der Bericht schlägt vor, dass Unternehmen die Benutzer über die Gefahren des Herunterladens riskanter Dateien sowie über eine Vielzahl anderer Maßnahmen aufklären, die die Ausführung der zahlreichen Skripte von Solarmarker einschränken oder blockieren sollen.
„Wir erwarten, dass der Akteur hinter Solarmarker seine Malware und Tools weiter verfeinert und seine C2-Infrastruktur wechselt, um seine Kampagne auf absehbare Zeit zu verlängern“, fügte der Bericht hinzu.
Sicherheit
Kaseya Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN Testbericht: Es ist billig, aber ist es gut? Die besten Browser für Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
Sicherheit Netzwerktechnik Industrie Internet der Dinge CXO Cloud 