22.05.2024 | Цифровой хищник SolarMarker мастерски «играет в прятки» с данными своих жертв |
Исследователи Recorded Future недавно обнаружили, что создатели вредоносного ПО SolarMarker разработали многоуровневую инфраструктуру, чтобы усложнить работу правоохранительных органов. «Основой операций SolarMarker является многослойная инфраструктура, состоящая минимум из двух кластеров: основной для активных операций и вторичный, вероятно, используемый для тестирования новых стратегий или для атаки на конкретные регионы или отрасли», — говорится в отчёте компании. Такая структура позволяет SolarMarker адаптироваться и отвечать на контрмеры, что делает его удаление особенно трудным. Вредоносное ПО, известное также как Deimos, Jupyter Infostealer, Polazert и Yellow Cockatoo, продолжает неустанно эволюционировать с момента его появления в сентябре 2020 года. SolarMarker способен красть данные из различных веб-браузеров, криптовалютных кошельков, а также нацеливаться на конфигурации VPN и RDP . Среди наиболее пострадавших отраслей — образование, государственный сектор, здравоохранение, гостиничный, а также малый и средний бизнес. Большинство жертв находятся в США. Создатели SolarMarker постоянно работают над улучшением его скрытности, увеличивая размер полезной нагрузки, используя действительные сертификаты Authenticode и новые изменения в реестре Windows. Кроме того, вредоносное ПО может запускаться непосредственно из памяти заражённого устройства, а не с диска. Заражение SolarMarker обычно происходит через фальшивые сайты загрузки, рекламирующие популярное ПО, или через ссылки в вредоносных письмах. Первичные загрузчики представляют собой исполняемые файлы (EXE) и файлы установщика Microsoft Software Installer (MSI), которые при запуске разворачивают бэкдор на основе .NET для скачивания дополнительных полезных нагрузок. Альтернативные последовательности атак включают подделку установщиков, которые одновременно запускают PowerShell-загрузчик для доставки и выполнения SolarMarker в памяти. В прошлом году также наблюдались атаки с использованием бэкдора на основе Delphi, называемого SolarPhantom, позволяющего удалённо управлять компьютером жертвы. По данным компании eSentire , в феврале 2024 года угроза от SolarMarker включала использование инструментов Inno Setup и PS2EXE для генерации полезных нагрузок. А совсем недавно была обнаружена версия на основе PyInstaller, распространяемая с использованием инструкции по эксплуатации посудомоечной машины в качестве приманки. Существует предположение, что SolarMarker может быть делом рук киберпреступника неизвестного происхождения, действующего в одиночку. Новые данные об этой угрозе подчёркивают высокую степень сложности и продуманности инфраструктуры SolarMarker, что делает борьбу с данным вредоносным ПО особенно трудной. |
Проверить безопасность сайта