Цифровой хищник SolarMarker мастерски «играет в прятки» с данными своих жертв

Исследователи Recorded Future недавно обнаружили, что создатели вредоносного ПО SolarMarker разработали многоуровневую инфраструктуру, чтобы усложнить работу правоохранительных органов.

«Основой операций SolarMarker является многослойная инфраструктура, состоящая минимум из двух кластеров: основной для активных операций и вторичный, вероятно, используемый для тестирования новых стратегий или для атаки на конкретные регионы или отрасли», — говорится в отчёте компании.

Такая структура позволяет SolarMarker адаптироваться и отвечать на контрмеры, что делает его удаление особенно трудным. Вредоносное ПО, известное также как Deimos, Jupyter Infostealer, Polazert и Yellow Cockatoo, продолжает неустанно эволюционировать с момента его появления в сентябре 2020 года.

SolarMarker способен красть данные из различных веб-браузеров, криптовалютных кошельков, а также нацеливаться на конфигурации VPN и RDP. Среди наиболее пострадавших отраслей — образование, государственный сектор, здравоохранение, гостиничный, а также малый и средний бизнес. Большинство жертв находятся в США.

Создатели SolarMarker постоянно работают над улучшением его скрытности, увеличивая размер полезной нагрузки, используя действительные сертификаты Authenticode и новые изменения в реестре Windows. Кроме того, вредоносное ПО может запускаться непосредственно из памяти заражённого устройства, а не с диска.

Заражение SolarMarker обычно происходит через фальшивые сайты загрузки, рекламирующие популярное ПО, или через ссылки в вредоносных письмах. Первичные загрузчики представляют собой исполняемые файлы (EXE) и файлы установщика Microsoft Software Installer (MSI), которые при запуске разворачивают бэкдор на основе .NET для скачивания дополнительных полезных нагрузок.

Альтернативные последовательности атак включают подделку установщиков, которые одновременно запускают PowerShell-загрузчик для доставки и выполнения SolarMarker в памяти. В прошлом году также наблюдались атаки с использованием бэкдора на основе Delphi, называемого SolarPhantom, позволяющего удалённо управлять компьютером жертвы.

По данным компании eSentire, в феврале 2024 года угроза от SolarMarker включала использование инструментов Inno Setup и PS2EXE для генерации полезных нагрузок. А совсем недавно была обнаружена версия на основе PyInstaller, распространяемая с использованием инструкции по эксплуатации посудомоечной машины в качестве приманки.

Существует предположение, что SolarMarker может быть делом рук киберпреступника неизвестного происхождения, действующего в одиночку.

Новые данные об этой угрозе подчёркивают высокую степень сложности и продуманности инфраструктуры SolarMarker, что делает борьбу с данным вредоносным ПО особенно трудной.