De aanhoudende dreigingsactoren achter de SolarMarker informatiestelende malware heeft een infrastructuur met meerdere niveaus opgezet om de verwijderingsinspanningen van de wetshandhaving te bemoeilijken, zo blijkt uit nieuwe bevindingen van Recorded Future.
“De kern van de activiteiten van SolarMarker is de gelaagde infrastructuur, die uit ten minste twee clusters bestaat: een primaire cluster voor actieve activiteiten en een secundaire cluster die waarschijnlijk wordt gebruikt voor het testen van nieuwe strategieën of het richten op specifieke regio's of industrieën”, aldus het bedrijf in een gepubliceerd rapport. vorige week.
“Deze scheiding vergroot het vermogen van de malware om zich aan te passen en te reageren op tegenmaatregelen, waardoor het bijzonder moeilijk wordt om het uit te roeien.”
SolarMarker, bekend onder de namen Deimos, Jupyter Infostealer, Polazert en Yellow Cockatoo, is een geavanceerde bedreiging die sinds zijn opkomst in september 2020 een voortdurende evolutie heeft laten zien. Het heeft de mogelijkheid om gegevens te stelen uit verschillende webbrowsers en cryptocurrency-wallets, zoals evenals doel-VPN- en RDP-configuraties.
Tot de sectoren die het meest worden getarget, behoren onderwijs, overheid, gezondheidszorg, horeca en kleine en middelgrote ondernemingen, volgens gegevens verzameld sinds september 2023. Dit omvat vooraanstaande universiteiten, overheidsdepartementen, mondiale hotelketens en zorgaanbieders. Een meerderheid van de slachtoffers bevindt zich in de VS
In de loop der jaren hebben de auteurs van de malware hun ontwikkelingsinspanningen erop gericht om het onopvallender te maken door grotere payloads, het gebruik van geldige Authenticode-certificaten, nieuwe wijzigingen in het Windows-register en de mogelijkheid om het rechtstreeks vanuit het geheugen in plaats van vanaf de schijf uit te voeren.
Infectieroutes omvatten doorgaans het hosten van SolarMarker op valse downloadersites die reclame maken voor populaire software die door een slachtoffer kan worden bezocht, hetzij onbedoeld, hetzij als gevolg van zoekmachineoptimalisatie (SEO), of via een link in een kwaadaardige e-mail.
De initiële droppers hebben de vorm van uitvoerbare bestanden (EXE) en Microsoft Software Installer (MSI)-bestanden die, wanneer ze worden gelanceerd, leiden tot de implementatie van een op .NET gebaseerde achterdeur die verantwoordelijk is voor het downloaden van extra payloads om informatiediefstal te vergemakkelijken.
Alternatieve reeksen maken gebruik van de valse installatieprogramma's om een legitieme applicatie (of een lokbestand) te verwijderen, terwijl tegelijkertijd een PowerShell-lader wordt gestart voor het leveren en uitvoeren van de SolarMarker-achterdeur in het geheugen.
SolarMarker-aanvallen van het afgelopen jaar hebben ook geleid tot de levering van een op Delphi gebaseerde hVNC-achterdeur genaamd SolarPhantom, waarmee een slachtoffermachine op afstand kan worden bestuurd zonder hun medeweten.
“In recente gevallen heeft de bedreigingsacteur van SolarMarker afwisselend Inno Setup- en PS2EXE-tools gebruikt om payloads te genereren”, merkte cyberbeveiligingsbedrijf eSentire in februari 2024 op.
Nog maar twee maanden geleden werd er een nieuwe PyInstaller-versie van de malware in het wild ontdekt, verspreid met behulp van een vaatwasserhandleiding als lokmiddel, volgens een malware-onderzoeker die de naam Squiablydoo draagt en SolarMarker door de jaren heen uitgebreid heeft gedocumenteerd.
Er zijn aanwijzingen dat SolarMarker het werk is van een eenzame acteur van onbekende herkomst, hoewel eerder onderzoek van Morphisec heeft gezinspeeld op een mogelijke Russische connectie.
Het onderzoek van Recorded Future naar de serverconfiguraties die zijn gekoppeld aan de command-and-control (C2)-servers heeft een architectuur met meerdere lagen blootgelegd die deel uitmaakt van twee brede clusters, waarvan er één waarschijnlijk wordt gebruikt voor testdoeleinden of om zich te richten op specifieke regio's of industrieën .
De gelaagde infrastructuur omvat een reeks Tier 1 C2-servers die in direct contact staan met slachtoffermachines. Deze servers maken verbinding met een Tier 2 C2-server via poort 443. Tier 2 C2-servers communiceren op vergelijkbare wijze met Tier 3 C2-servers via poort 443, en Tier 3 C2-servers maken consistent verbinding met Tier 4 C2-servers via dezelfde poort.
“De Tier 4-server wordt beschouwd als de centrale server van de operatie, vermoedelijk gebruikt voor het effectief beheren van alle downstream-servers op lange termijn”, zei het cyberbeveiligingsbedrijf, eraan toevoegend dat het ook observeerde dat de Tier 4 C2-server communiceerde met een andere “hulpserver”. ” via poort 8033.
“Hoewel het precieze doel van deze server onbekend blijft, speculeren we dat deze wordt gebruikt voor monitoring en mogelijk als statuscontrole of back-upserver.”