Cybersikkerhedsforskere opdagede for nylig nye aktiviteter relateret til en meget modulær bagdør og keylogger. Kaldes Solarmarker, truslen har en multistage, kraftigt tilsløret PowerShell -loader, der udfører .NET -bagdøren.
Solarmarker bagdørs tekniske detaljer
Solarmarker -aktiviteter blev observeret uafhængigt af forskere på Crowdstrike og Cisco Talos. Begge virksomheder opdagede Solarmarker sidste år, i oktober og september, henholdsvis. Men, Talos siger, at nogle DNS -telemetri -data endda peger tilbage til april 2020. Det var da forskerne opdagede tre primære DLL -komponenter og flere varianter, der præsenterede lignende adfærd.
Relaterede: Facefish-operationen: Linux målrettet af New Backdoor og Rootkit
”Iscenesættelseskomponenten i Solarmarker fungerer som det centrale eksekveringsnav, lette den indledende kommunikation med C2 -serverne og gøre det muligt at tabe andre ondsindede moduler på offerværten. Inden for vores observerede data, Stager indsættes som en .NET -samling “d” og en enkelt udførende klasse navngivet “m” (i denne analyse omtalt i fællesskab som “d.m”),”Siger Cisco Talos.
Som et næste trin, malware udtrækker flere filer til “AppData Local Temp” bibliotek om udførelse, inklusive en TMP -fil med samme navn som den originale downloadede fil, og en PowerShell -scriptfil (PS1), som starter resten af henrettelseskæden.
“TMP -filudførelsesprocessen udsender en PowerShell -kommando, der indlæser indholdet i det tabte PS1 -script og kører det, før den slettede fil slettes. Den resulterende binære klat dekodes derefter ved at XORe sit byte -array med en hardkodet nøgle og injiceres i hukommelsen gennem reflekterende samling. Den “løb” metode til det indeholdte modul “d.m” kaldes derefter for at fuldføre den første infektion,”Ifølge Talos tekniske beskrivelse.
I et typisk angreb, en stager vil blive injiceret på offerets maskine til kommando-og-kontrol kommunikation. Derefter, en anden komponent, kendt som Jupyter, injiceres af stager. Jupyter, et DLL -modul, kan stjæle personlige forskellige former for personlige oplysninger, herunder legitimationsoplysninger og formularindsendelser fra browsere som Firefox og Chrome og brugermapper.
“Den Jupyter information stjæler er Solarmarkers næstmest faldende modul. Under udførelsen af mange af Solarmarker -prøverne, vi observerede C2 sende en ekstra PS1 nyttelast til offerværten,” ifølge Cisco Talos.
“Solarmarkers igangværende kampagne og tilhørende familie af malware er bekymrende. Det var oprindeligt i stand til at fungere og udvikle sig over en betydelig tid, mens det stadig var relativt uopdaget,”Bemærker forskerne afslutningsvis. De forventer også at se yderligere handling og udvikling fra Solarmarkers forfattere, der sandsynligvis vil inkludere nye taktikker og procedurer til malware.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: