Cybersicherheitsforscher haben kürzlich neue Aktivitäten im Zusammenhang mit einer hochmodularen Backdoor und einem Keylogger entdeckt. Genannt Solarmarker, die Bedrohung ist mehrstufig, stark verschleierter PowerShell-Loader, der die .NET-Hintertür ausführt.
Technische Details zur Solarmarker-Hintertür
Die Aktivitäten der Solarmarker wurden unabhängig von Forschern der Crowdstrike und Cisco Talos. Beide Unternehmen haben Solarmarker im letzten Jahr entdeckt, im Oktober und September, beziehungsweise. Jedoch, Talos sagt, dass einige DNS-Telemetriedaten sogar auf April zurückreichen 2020. Zu diesem Zeitpunkt entdeckten die Forscher drei primäre DLL-Komponenten und mehrere Varianten mit ähnlichem Verhalten.
verbunden: Die Facefish-Operation: Linux im Visier von neuer Backdoor und Rootkit
„Die Staging-Komponente von Solarmarker dient als zentraler Ausführungshub, Erleichtert die anfängliche Kommunikation mit den C2-Servern und ermöglicht das Ablegen anderer bösartiger Module auf dem Opferhost. Innerhalb unserer beobachteten Daten, Der Stager wird als .NET-Assembly namens . bereitgestellt “d” und eine einzelne ausführende Klasse namens “m” (in dieser Analyse gemeinsam bezeichnet als “dm”),“ sagt Cisco Talos.
Als nächster Schritt, die Malware extrahiert mehrere Dateien in die “AppDataLocalTemp” Verzeichnis bei Ausführung, einschließlich einer TMP-Datei mit demselben Namen wie die heruntergeladene Originaldatei, und eine PowerShell-Skriptdatei (PS1), die den Rest der Ausführungskette einleitet.
„Der Ausführungsprozess der TMP-Datei gibt einen PowerShell-Befehl aus, der den Inhalt des abgelegten PS1-Skripts lädt und vor dem Löschen der geladenen Datei ausführt.. Der resultierende binäre Blob wird dann durch XOR-Verknüpfung seines Byte-Arrays mit einem hartcodierten Schlüssel decodiert und durch reflektives Laden der Assembly in den Speicher eingefügt. Die “Lauf” Methode des enthaltenen Moduls “dm” wird dann aufgerufen, um die Erstinfektion abzuschließen,” gemäß der technischen Beschreibung von Talos.
Bei einem typischen Angriff, ein Stager wird auf die Maschine des Opfers für die Befehls- und Kontrollkommunikation injiziert. Dann, eine zweite Komponente, bekannt als Jupyter, wird vom Stager injiziert. Jupyter, ein DLL-Modul, kann persönliche verschiedene Arten von persönlichen Daten stehlen, einschließlich Anmeldeinformationen und Formularübermittlungen von Browsern wie Firefox und Chrome und Benutzerverzeichnissen.
“Die Jupyter-Informationsdieb ist das am zweithäufigsten fallengelassene Modul von Solarmarker. Während der Ausführung vieler Solarmarker-Beispiele, Wir haben beobachtet, wie der C2 eine zusätzliche PS1-Nutzlast an den Opferhost sendet,” nach Cisco Talos.
„Die laufende Kampagne von Solarmarker und die damit verbundene Malware-Familie sind besorgniserregend“. Es war anfangs in der Lage, über einen beträchtlichen Zeitraum hinweg zu funktionieren und sich weiterzuentwickeln, während es relativ unentdeckt blieb,“ stellen die Forscher abschließend fest. Sie erwarten auch weitere Maßnahmen und Entwicklungen von den Autoren von Solarmarker, die wahrscheinlich neue Taktiken und Verfahren in die Malware integrieren werden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: