Andrew Windsor och Chris Neal, forskare med Cisco Talos, har sett ny aktivitet från Solarmarker, en. p> Forskarna förklarade att Solarmarker -kampanjen bedrivs av “ganska sofistikerade” aktörer som fokuserar sin energi på legitimation och återstående stöld av information.
Andra ledtrådar, till exempel nyckelloggarens riktade språkkomponent, indikerar att cyberattacker har ett intresse för europeiska organisationer eller inte har råd att bearbeta text på andra språk än ryska, tyska och engelska.
“Oavsett är de inte speciella eller alltför försiktiga när det gäller vilka offer som är infekterade med sin skadliga programvara. Under den senaste ökningen i kampanjen observerade Talos att sjukvård, utbildning och kommunala regeringar var riktade mot oftast “, står det i rapporten.
“Dessa sektorer följdes av en mindre grupp av tillverkningsorganisationer, tillsammans med några enskilda organisationer inom religiösa institutioner, finansiella tjänster och konstruktion/teknik. Trots vad som verkar vara en koncentration av viktologi bland några vertikaler, bedömer vi med måttligt förtroende att denna kampanj riktar sig inte till några specifika branscher, åtminstone inte avsiktligt. ”
Rapporten tillade att Microsofts forskare tror att Solarmarker-kampanjen använder SEO-förgiftning för att göra sina droppfiler mycket synliga i sökmotorresultaten, vilket potentiellt kan skeva “vilka typer av organisationer som sannolikt kommer att stöta på de skadliga filerna beroende på vad som är populärt populärt på tiden. “
Talos -forskare varnade organisationer för att se upp för skadlig programvara eftersom de observerade modulerna visar att offren är sårbara för att “få stulen känslig information, inte bara från deras enskilda anställdas webbläsaranvändning, till exempel om de anger sitt kreditkortsnummer eller annan personlig information, men också de som är avgörande för organisationens säkerhet, särskilt referenser. “
Cisco noterade att skadlig programvara tidigare användes vid sidan av” dm “, men används nu tillsammans med” Mars “-inställningsmodulen. Forskare upptäckte också en annan modul, tidigare orapporterad, som de kallade “Uranus.”
“Talos spårar aktivt en kampanj mot skadlig kod med Solarmarker-informationsstjälaren som går tillbaka till september 2020, säger rapporten.” Vissa DNS-telemetri och relaterad aktivitet pekar till och med tillbaka till april 2020. Då upptäckte vi tre primära DLL-komponenter och flera varianter som använder liknande beteende. “
Enligt studien injicerar angriparna vanligtvis en iscensättning på offrets värd för kommando- och kontrollkommunikation och ytterligare skadliga åtgärder innan en andra komponent som kallas” Jupyter “observerades injiceras av spelaren.
När Cisco -analytiker undersökte DLL -modulen, som heter “Jupyter”, fann de att den kan stjäla personlig information, referenser och skapa inlämningsvärden från offrets Firefox- och Chrome -installation och användarkataloger.
Modulen använder HTTP POST -begäranden för att skicka information till sin C2 -server. Angriparna använde en mängd olika åtgärder – som att inkludera flaggan “CurrentUser” för dataskyddsargumentet i “Unprotect” -metodanropet – för att komplicera försök att dekryptera eller analysera rådata som går mellan offret och C2 -servern.
“Jupyter-informationsstjälaren är Solarmarkers näst mest tappade modul. Under utförandet av många av Solarmarker-proverna såg vi att C2 skickade en extra PS1-nyttolast till offrets värd”, står det i rapporten.
“Svar från C2 kodas på samma sätt som JSON -objektet som innehåller offrets systeminformation. Efter att ha omvänt bas64- och XOR -kodningen skriver den denna byte -ström till en PS1 -fil på disken, kör den och tar sedan bort filen. Det här nya PowerShell-skriptet innehåller en .64-kodad .NET DLL, som också injicerades genom .NET: s reflekterande sammansättning. “
Analytikerna observerade att spelaren har webbläsarform och annan information som kan stjäla information. Angriparna använder också en keylogger som heter “Uran” som upptäcktes i äldre kampanjer.
“Sceneringskomponenten i Solarmarker fungerar som den centrala exekveringshubben, vilket underlättar initial kommunikation med C2 -servrarna och möjliggör att andra skadliga moduler kan släppas på offrets värd”, förklarade rapporten.
“Inom våra observerade data distribueras iscenspelaren som en .NET -sammansättning med namnet 'd' och en enda exekveringsklass som heter 'm' (kallas gemensamt i denna analys som 'd.m'). Skadlig programvara extraherar ett antal filer till offervärdens katalog 'AppData Local Temp' vid körning, inklusive en TMP -fil med samma namn som den ursprungliga nedladdade filen och en PowerShell -skriptfil (PS1), från vilken resten av avrättningskedjan leker. “
Attacken får sitt namn från filskrivningen “AppData Roaming solarmarker.dat”, som enligt rapporten fungerar som en värdidentifieringstagg för offer.
Undersökningen ledde forskare till en “tidigare orapporterad andra potentiell nyttolast”, som heter “Uranus”, som de säger härleds från filen “Uran.PS1” som finns på Solarmarks infrastruktur på “on-offtrack” [.] biz/get/uran.ps1. ”
Keylogger -skadlig programvara använder en mängd olika verktyg inom .NET runtime API för att göra saker som att fånga användarens tangenttryckningar och relevanta metadata.
“Till exempel kommer den att leta efter tillgängliga inmatningsspråk och tangentbordslayouter installerade på offrets värd och bifoga deras två bokstäver ISO -koder som ytterligare attribut till nyckelloggdata som samlats in. Intressant nog, i detta fall, kontrollerar skådespelaren specifikt efter tysk och rysk tecken ställer in, innan en engelsk etikett används som standard, sade rapporten.
“Extraktion kommer att ske var 10 000 sekunder med hjälp av ett trådsömn för att fördröja Uranus händelsekrets. Denna modul använder också HTTP POST -förfrågningar som sin primära kommunikationsmetod med Solarmarkers C2 -infrastruktur.”
Forskarna noterade att det allmänna körningsflödet för Solarmarker inte har förändrats mycket mellan varianterna. I de flesta fall vill angripare installera en bakdörr, men Talos -forskare sa att de i slutet av maj började märka “överskott av ny Solarmarker -aktivitet” i sin telemetri.
Den senaste versionen har en tweaked nedladdningsmetod för den första föräldradropparen samt uppgraderingar till en ny iscensättningskomponent som heter “Mars.”
“Under vår forskning om tidigare kampanjaktivitet trodde Talos inledningsvis att offren laddade ner Solarmarkers förälder skadliga PE-filer genom generiskt utseende, falska fildelningssidor som finns på gratis webbplatstjänster, men många av dummy-kontona hade blivit inaktiva mellan den tid vi hittade filnamnen som Solarmarkers droppers använde i vår telemetri och försökte hitta deras nedladdning URL -adresser “, skrev Cisco -forskare.
“Denna leveransmetod bekräftades senare av tredjeparts malware-analytiker i sin egen rapportering om Solarmarker. Till exempel såg vi flera nedladdningssidor som finns under misstänkta konton på Google Sites. Dessa länkar leder offret till en sida som erbjuder möjligheten att ladda ner filen som antingen en PDF- eller Microsoft Word -fil. Efter nedladdningslänken skickas offret genom flera omdirigeringar över olika domäner innan de landar på en sista nedladdningssida. Denna allmänna metod har inte ändrats, många av de överordnade filnamnen finns i vår telemetri kan hittas på misstänkta webbsidor som finns på Google Sites, även om skådespelaren har ändrat sina sista locksidor lite. “
Angriparna gjorde betydande förbättringar av den sista nedladdningssidan i ett försök att få det att se ut mer legitim.
Den senaste versionen innehåller också ett luringsprogram, PDFSam, som “körs i takt med resten av Solarmarkers initialisering för att fungera som felriktning för offret genom att försöka se ut som ett legitimt dokument.”
Även om det finns några bevis i rapporten om att rysktalande skapade Solarmarker, sa forskarna att det inte finns tillräckligt med bevis för att tillskriva attributet högt förtroende.
Rapporten föreslår att organisationer utbildar användare om riskerna med att ladda ner riskfyllda filer samt en mängd andra åtgärder som syftar till att begränsa eller blockera Solarmarkers många skript från att köras.
“Vi förväntar oss att skådespelaren bakom Solarmarker kommer att fortsätta att förfina sin skadliga program och verktyg samt alternera sin C2 -infrastruktur för att förlänga sin kampanj under överskådlig framtid”, tillade rapporten.
Säkerhet
Kaseya ransomware -attack: Vad du behöver veta Surfshark VPN -recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemmabruk De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
Säkerhet Nätverk Tech Industry Internet of Things CXO Cloud 