Многоуровневая инфраструктура вредоноса не оставляет корпоративному сектору никаких не шансов.
https://www.securitylab.ru/upload/ib...f9f4rvufsl.jpg
Исследователи Recorded Future https://www.recordedfuture.com/explo...infrastructure, что создатели вредоносного ПО SolarMarker разработали многоуровневую инфраструктуру, чтобы усложнить работу правоохранительных органов.
«Основой операций SolarMarker является многослойная инфраструктура, состоящая минимум из двух кластеров: основной для активных операций и вторичный, вероятно, используемый для тестирования новых стратегий или для атаки на конкретные регионы или отрасли», — говорится в отчёте компании.
Такая структура позволяет SolarMarker адаптироваться и отвечать на контрмеры, что делает его удаление особенно трудным. Вредоносное ПО, известное также как Deimos, Jupyter Infostealer, Polazert и Yellow Cockatoo, продолжает неустанно эволюционировать с момента его появления в сентябре 2020 года.
SolarMarker способен красть данные из различных веб-браузеров, криптовалютных кошельков, а также нацеливаться на конфигурации VPN и RDP. Среди наиболее пострадавших отраслей — образование, государственный сектор, здравоохранение, гостиничный, а также малый и средний бизнес. Большинство жертв находятся в США.
Создатели SolarMarker постоянно работают над улучшением его скрытности, увеличивая размер полезной нагрузки, используя действительные сертификаты Authenticode и новые изменения в реестре Windows. Кроме того, вредоносное ПО может запускаться непосредственно из памяти заражённого устройства, а не с диска.
Заражение SolarMarker обычно происходит через фальшивые сайты загрузки, рекламирующие популярное ПО, или через ссылки в вредоносных письмах. Первичные загрузчики представляют собой исполняемые файлы (EXE) и файлы установщика Microsoft Software Installer (MSI), которые при запуске разворачивают бэкдор на основе .NET для скачивания дополнительных полезных нагрузок.
Альтернативные последовательности атак включают подделку установщиков, которые одновременно запускают PowerShell-загрузчик для доставки и выполнения SolarMarker в памяти. В прошлом году также наблюдались атаки с использованием бэкдора на основе Delphi, называемого SolarPhantom, позволяющего удалённо управлять компьютером жертвы.
По данным компании eSentire, в феврале 2024 года угроза от SolarMarker включала использование инструментов Inno Setup и PS2EXE для генерации полезных нагрузок. А совсем недавно была обнаружена версия на основе PyInstaller, распространяемая с использованием инструкции по эксплуатации посудомоечной машины в качестве приманки.
Существует предположение, что SolarMarker может быть делом рук киберпреступника неизвестного происхождения, действующего в одиночку.
Новые данные об этой угрозе подчёркивают высокую степень сложности и продуманности инфраструктуры SolarMarker, что делает борьбу с данным вредоносным ПО особенно трудной.