Cybersecurity-onderzoekers hebben onlangs nieuwe activiteiten ontdekt met betrekking tot een zeer modulaire achterdeur en keylogger. Zonnemarker genoemd, de dreiging heeft een meertraps, zwaar versluierde PowerShell-lader die de .NET-backdoor uitvoert.
Technische details Solarmarker Backdoor
Solarmarker-activiteiten werden onafhankelijk geobserveerd door onderzoekers van Crowdstrike en Cisco Talos. Beide bedrijven hebben vorig jaar Solarmarker ontdekt, in oktober en september, respectievelijk. Echter, Talos zegt dat sommige DNS-telemetriegegevens zelfs teruggaan naar april 2020. Dit is het moment waarop de onderzoekers drie primaire DLL-componenten en meerdere varianten ontdekten die vergelijkbaar gedrag vertoonden.
Verwant: De Facefish-operatie: Linux gericht op nieuwe backdoor en rootkit
“De staging-component van Solarmarker dient als de centrale uitvoeringshub, het vergemakkelijken van de eerste communicatie met de C2-servers en het mogelijk maken dat andere kwaadaardige modules op de host van het slachtoffer worden geplaatst. Binnen onze waargenomen gegevens, de stager wordt geïmplementeerd als een .NET-assembly met de naam “d” en een enkele uitvoerende klasse met de naam “m” (in deze analyse gezamenlijk aangeduid als: “d.m”),"Cisco Talos zegt".
Als volgende stap, de malware extraheert verschillende bestanden naar de “AppDataLocalTemp” map bij uitvoering, inclusief een TMP-bestand met dezelfde naam als het originele gedownloade bestand, en een PowerShell-scriptbestand (PS1), die de rest van de uitvoeringsketen initieert.
"Het proces voor het uitvoeren van het TMP-bestand geeft een PowerShell-opdracht uit die de inhoud van het verwijderde PS1-script laadt en uitvoert voordat het geladen bestand wordt verwijderd. De resulterende binaire blob wordt vervolgens gedecodeerd door de byte-array te XORen met een hardgecodeerde sleutel en in het geheugen te injecteren via het laden van reflecterende assemblages. Het “rennen” methode van de ingesloten module “d.m” wordt dan aangeroepen om de eerste infectie te voltooien,” volgens de technische beschrijving van Talos.
Bij een typische aanval, een stager wordt geïnjecteerd op de machine van het slachtoffer voor commando-en-controlecommunicatie. Dan, een tweede component, bekend als Jupyter, wordt geïnjecteerd door de stager. Jupiter, een DLL-module, kan persoonlijke verschillende soorten persoonlijke gegevens stelen, inclusief inloggegevens en formulierinzendingen van browsers zoals Firefox en Chrome en gebruikersmappen.
“Het Jupyter informatie stelen is de op één na meest gedropte module van Solarmarker. Tijdens de uitvoering van veel van de Solarmarker-samples, we zagen dat de C2 een extra PS1-lading naar de host van het slachtoffer stuurde,” volgens Cisco Talos.
“De lopende campagne van Solarmarker en de bijbehorende malwarefamilie zijn zorgwekkend. Het was aanvankelijk in staat om gedurende een aanzienlijke hoeveelheid tijd te werken en te evolueren, terwijl het relatief onopgemerkt bleef,” noteren de onderzoekers tot slot. Ze verwachten ook verdere actie en ontwikkeling van de auteurs van Solarmarker, die waarschijnlijk nieuwe tactieken en procedures aan de malware zullen toevoegen..