Solarmarker Malware gebruikt nieuwe technieken om te overleven op gehackte systemen

Malware marcador solar Nachrichten

Als teken dat bedreigingsactoren voortdurend van tactiek veranderen en hun defensieve maatregelen bijwerken, is gebleken dat de operators van de SolarMarker-informatiestealer en backdoor gebruik maken van heimelijke trucs om langdurige persistentie op gecompromitteerde systemen te bewerkstelligen.

Cyberbeveiligingsbedrijf Sophos, dat het nieuwe gedrag ontdekte, zei dat de implantaten voor externe toegang nog steeds worden gedetecteerd op gerichte netwerken, ondanks dat de campagne in november 2021 een daling liet zien.

De op .NET gebaseerde malware, die beschikt over informatieverzameling en backdoor-mogelijkheden, is in 2021 gekoppeld aan ten minste drie verschillende aanvalsgolven. De eerste set, die in april werd gerapporteerd, maakte gebruik van technieken voor vergiftiging door zoekmachines om zakelijke professionals te misleiden om het schetsmatige Google te bezoeken. sites die SolarMarker op de computers van het slachtoffer hebben geïnstalleerd.

In augustus werd de malware waargenomen die gericht was op de gezondheidszorg en het onderwijs met als doel referenties en gevoelige informatie te verzamelen. Daaropvolgende infectieketens, gedocumenteerd door Morphisec in september 2021, benadrukten het gebruik van MSI-installatieprogramma’s om de levering van de malware te garanderen.

De modus operandi van SolarMarker begint met het omleiden van slachtoffers naar loksites die de payloads van het MSI-installatieprogramma laten vallen, die, terwijl ze schijnbaar legitieme installatieprogramma’s zoals Adobe Acrobat Pro DC, Wondershare PDFelement of Nitro Pro uitvoeren, ook een PowerShell-script starten om de malware te implementeren.

Solarmarker-malware

„Deze SEO-inspanningen, die gebruik maakten van een combinatie van discussies in Google Groups en misleidende webpagina’s en PDF-documenten die werden gehost op gecompromitteerde (meestal WordPress) websites, waren zo effectief dat de SolarMarker-lokmiddelen meestal bovenaan of nabij de zoekresultaten stonden voor zinnen die de SolarMarker geviseerde acteurs,“ Sophos-onderzoekers Gabor Szappanos en Sean Gallagher zei in een rapport gedeeld met The Hacker News.

Het PowerShell-installatieprogramma is ontworpen om het Windows-register te wijzigen en een .LNK-bestand in de opstartmap van Windows te plaatsen om persistentie vast te stellen. Deze ongeautoriseerde wijziging heeft tot gevolg dat de malware wordt geladen vanuit een versleutelde lading die verborgen is tussen wat de onderzoekers een „rookgordijn“ noemden van 100 tot 300 ongewenste bestanden die speciaal voor dit doel waren gemaakt.

„Normaal gesproken zou je verwachten dat dit gekoppelde bestand een uitvoerbaar bestand of scriptbestand is“, aldus de onderzoekers. „Maar voor deze SolarMarker-campagnes is het gekoppelde bestand een van de willekeurige ongewenste bestanden en kan het niet zelf worden uitgevoerd.

Bovendien wordt de unieke en willekeurige bestandsextensie die wordt gebruikt voor het gekoppelde ongewenste bestand, gebruikt om een ​​aangepaste bestandstypesleutel te maken, die uiteindelijk wordt gebruikt om de malware uit te voeren tijdens het opstarten van het systeem door een PowerShell-opdracht uit het register uit te voeren.

De achterdeur van zijn kant evolueert voortdurend, met een reeks functionaliteiten waarmee het informatie van webbrowsers kan stelen, diefstal van cryptocurrency mogelijk maakt en willekeurige opdrachten en binaire bestanden uitvoert, waarvan de resultaten worden teruggestuurd naar een externe server.

„Nog een belangrijke afhaalmaaltijd […], wat ook werd gezien in de ProxyLogon-kwetsbaarheden gericht op Exchange-servers, is dat verdedigers altijd moeten controleren of aanvallers iets in het netwerk hebben achtergelaten waar ze later naar terug kunnen keren“, zei Gallagher. „Voor ProxyLogon waren dit webshells, voor SolarMarker dit is een sluipende en hardnekkige achterdeur die volgens Sophos telematica maanden na het einde van de campagne nog steeds actief is.“

David
Rate author
Hackarizona