Arkasındaki kalıcı tehdit aktörleri Güneş işaretleyici Recorded Future’ın yeni bulgularına göre, bilgi çalan kötü amaçlı yazılımlar, kolluk kuvvetlerinin ortadan kaldırma çabalarını karmaşık hale getirmek için çok katmanlı bir altyapı oluşturdu.
Şirket, yayınlanan bir raporda şöyle dedi: “SolarMarker’ın operasyonlarının özü, en az iki kümeden oluşan katmanlı altyapısıdır: aktif operasyonlar için birincil küme ve muhtemelen yeni stratejileri test etmek veya belirli bölgeleri veya endüstrileri hedeflemek için kullanılan ikincil küme.” geçen hafta.
“Bu ayırma, kötü amaçlı yazılımın karşı önlemlere uyum sağlama ve yanıt verme yeteneğini geliştiriyor ve ortadan kaldırılmasını özellikle zorlaştırıyor.”
Deimos, Jupyter Infostealer, Polazert ve Yellow Cockatoo isimleriyle bilinen SolarMarker, Eylül 2020’de ortaya çıkışından bu yana sürekli bir evrim sergileyen karmaşık bir tehdittir. Çeşitli web tarayıcılarından ve kripto para cüzdanlarından veri çalma yeteneğine sahiptir. hedef VPN ve RDP yapılandırmalarının yanı sıra.
Eylül 2023’ten bu yana toplanan verilere göre, en çok hedeflenen sektörler arasında eğitim, kamu, sağlık, konaklama ve küçük ve orta ölçekli işletmeler yer alıyor. Buna önde gelen üniversiteler, devlet daireleri, küresel otel zincirleri ve sağlık hizmeti sağlayıcıları da dahil. Kurbanların çoğunluğu ABD’de bulunuyor
Yıllar geçtikçe kötü amaçlı yazılım yazarları, geliştirme çabalarını, artan yük boyutları, geçerli Authenticode sertifikalarının kullanımı, yeni Windows Kayıt Defteri değişiklikleri ve onu disk yerine doğrudan bellekten çalıştırma yeteneği yoluyla onu daha gizli hale getirmeye odakladılar.
Bulaşma yolları genellikle SolarMarker’ın, bir kurban tarafından yanlışlıkla veya arama motoru optimizasyonu (SEO) zehirlenmesi nedeniyle veya kötü amaçlı bir e-postadaki bir bağlantı yoluyla ziyaret edilebilecek popüler yazılımların reklamını yapan sahte indirme sitelerinde barındırılmasını içerir.
İlk indiriciler, başlatıldığında bilgi hırsızlığını kolaylaştırmak için ek yüklerin indirilmesinden sorumlu olan .NET tabanlı bir arka kapının konuşlandırılmasına yol açan yürütülebilir dosyalar (EXE) ve Microsoft Yazılım Yükleyicisi (MSI) dosyaları biçimini alır.
Alternatif diziler, sahte yükleyicilerden meşru bir uygulamayı (veya tuzak dosyayı) bırakmalarını sağlarken aynı anda SolarMarker arka kapısını bellekte teslim etmek ve yürütmek için bir PowerShell yükleyiciyi başlatır.
Geçtiğimiz yıl gerçekleşen SolarMarker saldırıları, mağdur bir makinenin bilgisi olmadan uzaktan kontrol edilmesine olanak tanıyan SolarPhantom adlı Delphi tabanlı bir hVNC arka kapısının teslim edilmesini de içeriyordu.
Siber güvenlik firması eSentire, Şubat 2024’te “Son vakalarda SolarMarker’ın tehdit aktörü, yük oluşturmak için Inno Setup ve PS2EXE araçları arasında geçiş yaptı.” dedi.
Squillydoo adını kullanan ve SolarMarker’ı yıllar boyunca kapsamlı bir şekilde belgeleyen bir kötü amaçlı yazılım araştırmacısına göre, iki ay kadar yakın bir süre önce, kötü amaçlı yazılımın yeni bir PyInstaller sürümünün, tuzak olarak bulaşık makinesi kılavuzu kullanılarak vahşi doğada yayıldığı tespit edildi.
Morphisec’in önceki araştırmaları olası bir Rus bağlantısına işaret etse de SolarMarker’ın kaynağı bilinmeyen yalnız bir aktörün işi olduğunu gösteren kanıtlar var.
Recorded Future’ın komuta ve kontrol (C2) sunucularına bağlı sunucu yapılandırmalarına yönelik araştırması, iki geniş kümenin parçası olan çok katmanlı bir mimariyi ortaya çıkardı; bunlardan biri muhtemelen test amacıyla veya belirli bölgeleri veya endüstrileri hedeflemek için kullanılıyor .
Katmanlı altyapı, kurban makinelerle doğrudan temas halinde olan bir dizi Katman 1 C2 sunucuyu içerir. Bu sunucular, 443 numaralı bağlantı noktası aracılığıyla bir Tier 2 C2 sunucusuna bağlanır. Tier 2 C2 sunucuları, benzer şekilde, 443 numaralı bağlantı noktası aracılığıyla Tier 3 C2 sunucularıyla iletişim kurar ve Tier 3 C2 sunucuları, aynı bağlantı noktası aracılığıyla tutarlı bir şekilde Tier 4 C2 sunucularına bağlanır.
Siber güvenlik firması, “Tier 4 sunucu, operasyonun merkezi sunucusu olarak kabul ediliyor ve muhtemelen tüm aşağı akış sunucularını uzun vadede etkili bir şekilde yönetmek için kullanılıyor” dedi ve ayrıca Tier 4 C2 sunucusunun başka bir “yardımcı sunucu” ile iletişim kurduğunu da gözlemlediğini ekledi. ” 8033 numaralı bağlantı noktası aracılığıyla.
“Bu sunucunun kesin amacı bilinmemekle birlikte, izleme amacıyla kullanıldığını, muhtemelen bir sağlık kontrolü veya yedekleme sunucusu olarak hizmet verdiğini tahmin ediyoruz.”