サイバーセキュリティの研究者は最近、高度にモジュール化されたバックドアとキーロガーに関連する新しい活動を検出しました. ソーラーマーカーと呼ばれる, 脅威には多段階があります, .NETバックドアを実行する非常に難読化されたPowerShellローダー.
ソーラーマーカーバックドアの技術的詳細
ソーラーマーカーの活動は、 クラウドストライク と Cisco Talos. 両社は昨年ソーラーマーカーを検出しました, 10月と9月, それぞれ. でも, Talosによると、一部のDNSテレメトリデータは4月までさかのぼります 2020. これは、研究者が3つの主要なDLLコンポーネントと、同様の動作を示す複数のバリアントを発見したときです。.
関連している: フェイスフィッシュオペレーション: 新しいバックドアとルートキットの対象となるLinux
「Solarmarkerのステージングコンポーネントは、中央実行ハブとして機能します, C2サーバーとの初期通信を容易にし、他の悪意のあるモジュールを被害者のホストにドロップできるようにします. 観測データ内, ステージャーは、という名前の.NETアセンブリとしてデプロイされます “d” およびという名前の単一の実行クラス “m” (この分析では、共同で次のように呼ばれます “dm”),」CiscoTalosは言います.
次のステップとして, マルウェアはいくつかのファイルを抽出します “AppData Local Temp” 実行時のディレクトリ, ダウンロードした元のファイルと同じ名前のTMPファイルを含む, およびPowerShellスクリプトファイル (PS1), 残りの実行チェーンを開始します.
「TMPファイル実行プロセスは、ドロップされたPS1スクリプトのコンテンツをロードし、ロードされたファイルを削除する前にそれを実行するPowerShellコマンドを発行します。. 結果として得られるバイナリブロブは、そのバイト配列をハードコードされたキーとXORすることによってデコードされ、リフレクティブアセンブリのロードによってメモリに挿入されます。. The “走る” 含まれているモジュールのメソッド “dm” その後、最初の感染を完了するために呼び出されます,タロスの技術的説明によると.
典型的な攻撃では, コマンドアンドコントロール通信のために、ステージャーが被害者のマシンに注入されます. それで, 2番目のコンポーネント, Jupyterとして知られています, ステージャーによって注入されます. Jupyter, DLLモジュール, 個人のさまざまな種類の個人情報を盗むことができます, FirefoxやChromeなどのブラウザやユーザーディレクトリからの資格情報やフォームの送信を含む.
“The Jupyter情報スティーラー ソーラーマーカーの2番目にドロップされたモジュールです. ソーラーマーカーサンプルの多くの実行中, C2が追加のPS1ペイロードを被害者のホストに送信するのを観察しました,” CiscoTalosによると.
「Solarmarkerの進行中のキャンペーンと関連するマルウェアファミリーは懸念を抱いています. 当初は、比較的検出されないまま、かなりの時間にわたって動作および進化することができました。,」と研究者たちは結論として述べています. 彼らはまた、マルウェアに新しい戦術と手順を含める可能性が高いソーラーマーカーの作者からのさらなる行動と発展を見ることを期待しています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: