SOC analistleri, SolarMarker kötü amaçlı yazılımını kullanan, Bing’de ekip oluşturma etkinlikleri arayan kullanıcıları hedef alan bir doğrudan indirme saldırısı tespit etti.
Saldırganlar, kullanıcıyı kötü amaçlı bir web sitesine yönlendirerek ve meşru Indeed iş arama platformunu taklit ederek kurbanı görünüşte zararsız bir belge indirmesi için kandırdı.
Ancak indirilen bu dosya aslında SolarMarker verisiydi ve çalıştırıldığında sistemi daha da tehlikeye atmak için StellarInjector ve SolarPhantom gibi ek kötü amaçlı bileşenler dağıttı.
SolarMarker, daha önce olduğu gibi taktiklerini değiştirdi; arka kapı doğrudan kodun içine yerleştirilmişti ve şimdi kötü amaçlı yazılım, arka kapıyı AES şifreli bir dosyanın kaynak bölümüne yerleştiriyor.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Çalıştırıldığında, ilk veri sahte bir hata mesajı görüntüler ve arka kapı, 2.58.15.118 ve 146.70.80.83 IP adreslerindeki komuta ve kontrol (C2) sunucularına bağlanır.
Tehdit aktörleri, başarılı bir arka kapı sunucu bağlantısı sonrasında StellarInjector yükünü (MD5: 0440b3fbc030233b4e9c6748eba27e4d) teslim etti.
Bu veri, SolarPhantom’u (MD5: 6bef5498c56691553dc95917ff103f5e) SearchIndexer.exe sürecine enjekte ederek bilgi çalma ve gizli sanal ağ bilişim (hVNC) yeteneklerini etkinleştirir.
Arka kapı yapılandırması, hedef sistemin Windows 10 x86 olduğunu ve sınırlı ayrıcalıklara sahip olduğunu ortaya koyuyor.
Firefox tarama verilerini hedefler, kullanıcının profil yolunu çıkarır ve muhtemelen daha fazla kötü amaçlı eylem için kullanılacak olan “satürn”ü ve Firefox yürütülebilir dosyasının konumunu ekler.
Kötü amaçlı yazılım daha sonra sağlanan ` ile temsil edilen bir RSA ortak anahtarını kullanır.
Bilgi hırsızlığıyla bilinen kötü amaçlı yazılım, ilk veri yükü için klasör adları oluşturmak üzere özel bir algoritma kullanır; bu algoritma, v1 değerinin en az anlamlı baytının 8 bit kaydırılmasını ve onu bir bayt ile XOR’lanmasını içerir.
Ortaya çıkan indeks daha sonra bir CRC32 arama tablosundan bir değer almak için kullanılır ve alınan bu değer, orijinal v1 değeriyle XORlanır ve bir sonraki yineleme için güncellenir.
SolarMarker’ın bu ilk veri yükü için DigiCert ve GlobalSign’dan iki farklı sertifika kullandığını belirtmek ilginçtir.
eSentire’ın Tehdit Yanıt Birimi (TRU), Nisan 2024’te bir SolarMarker enfeksiyonunu araştırdı; saldırı, Bing’de ekip oluşturma fikirleri arayan bir kullanıcının arabayla indirilmesiyle başladı.
Daha sonra bilgi hırsızlığı ve uzaktan erişim için StellarInjector ve SolarPhantom gibi ek bileşenleri devreye aldı.
Arka kapı 2.58.15’teki sunuculara bağlandı [.]118 ve 146.70.80 [.]83, SEO zehirlenmesinin kullanımını, meşru web sitelerini taklit eden sahte web sitelerini ve kullanıcıların dikkat ve güvenlik güncellemelerine olan ihtiyacını vurgulamaktadır.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free