Исследователи Recorded Future недавно обнаружили, что создатели вредоносного ПО SolarMarker разработали многоуровневую инфраструктуру, чтобы усложнить работу правоохранительных органов.
“Основой операций SolarMarker является многослойная инфраструктура, состоящая минимум из двух кластеров: основной для активных операций и вторичный, вероятно, используемый для тестирования новых стратегий или для атаки на конкретные регионы или отрасли”, – говорится в отчёте компании.
Такая структура позволяет SolarMarker адаптироваться и отвечать на контрмеры, что делает его удаление особенно трудным. Вредоносное ПО, известное также как Deimos, Jupyter Infostealer, Polazert и Yellow Cockatoo, продолжает неустанно эволюционировать с момента его появления в сентябре 2020 года.
SolarMarker способен красть данные из различных веб-браузеров, криптовалютных кошельков, а также нацеливаться на конфигурации ” data-html=”true” data-original-title=”VPN” >VPN и RDP. Среди наиболее пострадавших отраслей – образование, государственный сектор, здравоохранение, гостиничный, а также малый и средний бизнес. Большинство жертв находятся в США.
Создатели SolarMarker постоянно работают над улучшением его скрытности, увеличивая размер полезной нагрузки, используя действительные сертификаты Authenticode и новые изменения в реестре Windows. Кроме того, вредоносное ПО может запускаться непосредственно из памяти заражённого устройства, а не с диска.
Заражение SolarMarker обычно происходит через фальшивые сайты загрузки, рекламирующие популярное ПО, или через ссылки в вредоносных письмах. Первичные загрузчики представляют собой исполняемые файлы (EXE) и файлы установщика Microsoft Software Installer (MSI), которые при запуске разворачивают бэкдор на основе .NET для скачивания дополнительных полезных нагрузок.
Альтернативные последовательности атак включают подделку установщиков, которые одновременно запускают PowerShell-загрузчик для доставки и выполнения SolarMarker в памяти. В прошлом году также наблюдались атаки с использованием бэкдора на основе Delphi, называемого SolarPhantom, позволяющего удалённо управлять компьютером жертвы.
По данным компании eSentire, в феврале 2024 года угроза от SolarMarker включала использование инструментов Inno Setup и PS2EXE для генерации полезных нагрузок. А совсем недавно была обнаружена версия на основе PyInstaller, распространяемая с использованием инструкции по эксплуатации посудомоечной машины в качестве приманки.
Существует предположение, что SolarMarker может быть делом рук киберпреступника неизвестного происхождения, действующего в одиночку.
Новые данные об этой угрозе подчёркивают высокую степень сложности и продуманности инфраструктуры SolarMarker, что делает борьбу с данным вредоносным ПО особенно трудной.