Recorded Future 的新发现显示, SolarMarker信息窃取恶意软件背后的APT组织已建立多层基础设施,使执法部门的打击行动变得更加复杂。
该公司在上周发布的一份报告中表示:“SolarMarker 运营的核心是其分层基础设施,它至少由两个集群组成:一个主要集群用于主动运营,另一个集群可能用于测试新战略或针对特定地区或行业。”
“这种分离增强了恶意软件适应和响应对策的能力,使其特别难以根除。”
SolarMarker 的别名有 Deimos、Jupyter Infostealer、Polazert 和 Yellow Cockatoo,是一种复杂的APT威胁,自 2020 年 9 月出现以来一直在不断发展。它能够从多个网络浏览器和加密货币钱包窃取数据,例如以及目标 VPN 和 RDP 配置。
根据自 2023 年 9 月以来收集的数据,首要目标包括教育、政府、医疗保健、酒店和中小企业等垂直行业。其中包括著名大学、政府部门、全球连锁酒店和医疗保健提供商,大多数受害者位于美国。
多年来,SolarMarker 恶意软件作者一直致力于通过增加有效负载大小、使用有效的Authenticode 证书、新颖的Windows 注册表更改以及直接从内存而不是磁盘运行(无文件攻击)它的能力来使其更加隐蔽。
感染途径通常涉及在虚假下载器网站上托管 SolarMarker,该网站宣传流行软件,受害者可能会无意中或由于搜索引擎优化 (SEO) 中毒或通过恶意电子邮件中的链接访问这些软件。
初始植入程序采用可执行文件 (EXE) 和 Microsoft 软件安装程序 (MSI) 文件的形式,启动后会导致部署基于 .NET 的后门,该后门负责下载其他有效负载以促进信息盗窃。
替代序列利用假冒安装程序删除合法应用程序(或诱饵文件),同时启动 PowerShell 加载程序以在内存中传递和执行 SolarMarker 后门。
过去一年中的 SolarMarker 攻击还涉及交付基于 Delphi 的 hVNC 后门(称为SolarPhantom),该后门允许在受害者不知情的情况下远程控制受害者机器。
网络安全公司 eSentire在 2024 年 2 月指出:“在最近的案例中,SolarMarker 背后的APT组织交替使用 Inno Setup 和 PS2EXE 工具来生成有效负载。”
就在两个月前,该恶意软件的新 PyInstaller 版本被发现使用洗碗机手册作为诱饵在野外传播,据一位名为Squblingdoo的恶意软件研究人员透露,该研究人员多年来对 SolarMarker进行了大量记录。
有证据表明,SolarMarker 是一个来源不明的单独行动者所为,尽管Morphisec之前的研究暗示可能与俄罗斯有关。
Recorded Future 对与命令与控制 (C2) 服务器相关的服务器配置的调查发现了一种多层架构,该架构属于两大集群的一部分,其中一个集群可能用于测试目的或针对特定区域或行业。
分层基础设施包括一组与受害计算机直接联系的第 1 层 C2 服务器。这些服务器通过端口 443 连接到第 2 层 C2 服务器。第 2 层 C2 服务器同样通过端口 443 与第 3 层 C2 服务器进行通信,第 3 层 C2 服务器始终通过同一端口连接到第 4 层 C2 服务器。
该网络安全公司表示:“Tier 4 服务器被认为是该操作的中央服务器,大概用于长期有效管理所有下游服务器。”该公司还补充说,它还观察到 Tier 4 C2 服务器“通过端口 8033 与另一台“辅助服务器”进行通信。
“虽然该服务器的确切用途仍不清楚,但我们推测它用于监控,可能用作健康检查或备份服务器。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/GtiIBpQqOGD0xsojHsNOgw
暂无评论内容