Zdravotníctvo a školstvo sú častým cieľom nového nárastu aktivity získavania poverení z „vysoko modulárneho“ kradnutia informácií a keyloggeru založeného na .NET, ktorý ukazuje smer pokračujúceho vývoja aktéra hrozby a zároveň zostáva pod radarom.
Podľa Cisco Talos je malvérová kampaň nazývaná „Solarmarker“ aktívna od septembra 2020, pričom telemetrické údaje poukazujú na škodlivé akcie už v apríli 2020. „V jadre sa zdá, že kampaň Solarmarker vedie pomerne sofistikovaný herec, ktorý sa z veľkej časti zameriava na krádeže poverení a zvyškových informácií,“ uviedli výskumníci spoločnosti Talos Andrew Windsor a Chris Neal v technickom zázname zverejnenom minulý týždeň.
Infekcie pozostávajú z viacerých pohyblivých častí, pričom hlavnou z nich je montážny modul .NET, ktorý slúži ako systémový profilovač a vytvára základňu na hostiteľskom počítači obete pre komunikáciu príkazov a ovládania (C2) a ďalšie škodlivé akcie vrátane nasadenia informácií- kradnutie komponentov ako Jupyter a Uran (pravdepodobne odkaz na Urán).
Zatiaľ čo prvý sa môže pochváliť schopnosťou ukradnúť osobné údaje, poverenia a hodnoty odoslaných formulárov z prehliadačov Firefox a Google Chrome obete, druhý – predtým nenahlásený obsah – funguje ako keylogger na zachytenie stlačenia klávesov používateľa.
Obnovenú aktivitu sprevádza aj posun v taktike a viacnásobné opakovanie infekčného reťazca, aj keď aktér hrozby využil odveký trik otravy SEO, ktorý odkazuje na zneužívanie optimalizácie pre vyhľadávače (SEO). získať viac pozornosti a prilákať škodlivé stránky alebo výrazne zviditeľniť ich kvapkacie súbory vo výsledkoch vyhľadávačov.
„Prevádzkovatelia malvéru známeho ako SolarMarker, Jupyter, [and] ďalšie mená sa snažia nájsť nový úspech pomocou starej techniky: otravy SEO,“ uviedol v júni tím Microsoft Security Intelligence. malvér.
Talosova statická a dynamická analýza artefaktov Solarmarker poukazuje na rusky hovoriaceho protivníka, hoci skupina spravodajských informácií o hrozbách má podozrenie, že tvorcovia malvéru ich mohli zámerne navrhnúť takýmto spôsobom v snahe uviesť do omylu.
„Aktér za kampaňou Solarmarker má mierne až pokročilé schopnosti,“ uzavreli vedci. “Udržiavanie množstva vzájomne prepojenej a rotujúcej infraštruktúry a generovanie zdanlivo neobmedzeného množstva inak pomenovaných počiatočných súborov dropper si vyžaduje značné úsilie.”
„Herec tiež prejavuje odhodlanie pri zabezpečovaní pokračovania svojej kampane, ako je aktualizácia metód šifrovania pre komunikáciu C2 v Mars DLL po tom, čo výskumníci verejne vybrali predchádzajúce komponenty malvéru, okrem bežnejšej stratégie cyklovania. hostitelia infraštruktúry C2.”
