Arkasındaki kalıcı tehdit aktörleri SolarMarker Recorded Future’ın yeni bulgularına göre, bilgi çalan kötü amaçlı yazılımlar, kolluk kuvvetlerinin ortadan kaldırma çabalarını karmaşık hale getirmek için çok katmanlı bir altyapı oluşturdu.
Şirket, “SolarMarker’ın operasyonlarının özü, en az iki kümeden oluşan katmanlı altyapısıdır: birincil küme aktif operasyonlar için ve ikincil küme ise muhtemelen yeni stratejileri test etmek veya belirli bölgeleri veya endüstrileri hedeflemek için kullanılır.” söz konusu Geçen hafta yayınlanan bir raporda.
“Bu ayırma, kötü amaçlı yazılımın karşı önlemlere uyum sağlama ve yanıt verme yeteneğini geliştirerek, ortadan kaldırılmasını özellikle zorlaştırıyor.”
Deimos, Jupyter Infostealer, Polazert ve Yellow Cockatoo isimleriyle bilinen SolarMarker, Eylül 2020’de ortaya çıkışından bu yana sürekli bir evrim sergileyen karmaşık bir tehdittir. Çeşitli web tarayıcılarından ve kripto para birimi cüzdanlarından veri çalma yeteneğine sahiptir. hedef VPN ve RDP yapılandırmalarının yanı sıra.
Eylül 2023’ten bu yana toplanan verilere göre, en çok hedeflenen sektörler arasında eğitim, kamu, sağlık, konaklama ve küçük ve orta ölçekli işletmeler yer alıyor. Buna önde gelen üniversiteler, devlet daireleri, küresel otel zincirleri ve sağlık hizmeti sağlayıcıları da dahil. Kurbanların çoğunluğu ABD’de bulunuyor
Yıllar geçtikçe, kötü amaçlı yazılım yazarları, geliştirme çabalarını, artan yük boyutları, geçerli Kimlik doğrulama kodu sertifikalarıroman Windows Kayıt Defteri değişikliklerive bunu disk yerine doğrudan bellekten çalıştırma yeteneği.
Enfeksiyon yolları Genellikle SolarMarker’ın, bir kurban tarafından yanlışlıkla veya arama motoru optimizasyonu (SEO) zehirlenmesi nedeniyle veya kötü amaçlı bir e-postadaki bir bağlantı yoluyla ziyaret edilebilecek popüler yazılımların reklamını yapan sahte indirme sitelerinde barındırılmasını içerir.
İlk indiriciler, başlatıldığında bilgi hırsızlığını kolaylaştırmak için ek yüklerin indirilmesinden sorumlu olan .NET tabanlı bir arka kapının konuşlandırılmasına yol açan yürütülebilir dosyalar (EXE) ve Microsoft Yazılım Yükleyicisi (MSI) dosyaları biçimini alır.
Alternatif diziler, sahte yükleyicilerden meşru bir uygulamayı (veya tuzak dosyayı) bırakmalarını sağlarken aynı anda SolarMarker arka kapısını bellekte teslim etmek ve yürütmek için bir PowerShell yükleyiciyi başlatır.
Geçen yılki SolarMarker saldırıları aynı zamanda Delphi tabanlı bir hVNC arka kapısının teslimini de içeriyordu. SolarPhantom Bu, kurbanın makinesinin bilgisi olmadan uzaktan kontrol edilmesine olanak tanır.
Siber güvenlik firması eSentire, “Son vakalarda SolarMarker’ın tehdit aktörü, yük oluşturmak için Inno Setup ve PS2EXE araçları arasında geçiş yaptı” dedi. kayıt edilmiş Şubat 2024’te.
Adıyla anılan bir kötü amaçlı yazılım araştırmacısına göre, iki ay kadar yakın bir süre önce, kötü amaçlı yazılımın yeni bir PyInstaller sürümünün, bulaşık makinesi kılavuzu kullanılarak yem olarak yayıldığı ortalıkta tespit edildi. Squiblydoo ve sahip Kapsamlı bir şekilde belgelenmiş Yıllar boyunca SolarMarker.
SolarMarker’ın kaynağı bilinmeyen yalnız bir aktörün eseri olduğunu gösteren kanıtlar var, ancak önceki araştırma Morphisec’ten gelen bir raporda olası bir Rus bağlantısından bahsedildi.
Recorded Future’ın komuta ve kontrol (C2) sunucularına bağlı sunucu yapılandırmalarına yönelik araştırması, iki geniş kümenin parçası olan çok katmanlı bir mimariyi ortaya çıkardı; bunlardan biri muhtemelen test amacıyla veya belirli bölgeleri veya endüstrileri hedeflemek için kullanılıyor .
Katmanlı altyapı, kurban makinelerle doğrudan temas halinde olan bir dizi Katman 1 C2 sunucusunu içerir. Bu sunucular, 443 numaralı bağlantı noktası aracılığıyla bir Tier 2 C2 sunucusuna bağlanır. Tier 2 C2 sunucuları, benzer şekilde, 443 numaralı bağlantı noktası aracılığıyla Tier 3 C2 sunucularıyla iletişim kurar ve Tier 3 C2 sunucuları, aynı bağlantı noktası aracılığıyla tutarlı bir şekilde Tier 4 C2 sunucularına bağlanır.
Siber güvenlik firması, “Tier 4 sunucu, operasyonun merkezi sunucusu olarak kabul ediliyor ve muhtemelen tüm aşağı akış sunucularını uzun vadede etkili bir şekilde yönetmek için kullanılıyor” dedi ve ayrıca Tier 4 C2 sunucusunun başka bir “yardımcı sunucu” ile iletişim kurduğunu da gözlemlediğini ekledi. ” 8033 numaralı bağlantı noktası aracılığıyla.
“Bu sunucunun kesin amacı bilinmemekle birlikte, izleme amacıyla kullanıldığını, muhtemelen bir sağlık kontrolü veya yedekleme sunucusu olarak hizmet verdiğini tahmin ediyoruz.”