С момента своего появления в 2020 году SolarMarker (он же Jupyter, Polazert, Yellow Cockatoo) остается одной из самых успешных вредоносных кампаний, в значительной степени полагающейся на социальную инженерию через поисковую оптимизацию (SEO). С момента своего появления в природе SolarMarker значительно расширил свои возможности - от C2-коммуникаций, которые сложно расшифровать, до обфускации, замедляющей анализ вредоносного ПО.
SolarMarker
SolarMarker обладает двумя основными возможностями: он устанавливает бэкдор или инфопоисковик, как только жертва запускает полезную нагрузку. Оба модуля SolarMarker могут нанести ущерб организациям, поскольку бэкдор может быть использован злоумышленником(ами) для установки дополнительного вредоносного ПО или кражи конфиденциальной информации.
Эта вредоносная программа продолжает оставаться активной. Первая панель администрирования была обнаружена размещенной на российском сервере акционерного общества (АО) "ЭР-Телеком Холдинг". Фоновое изображение Jupiter из админпанели, которое, как установили исследователи, происходит с форумов, содержащих кириллицу.
SolarMarker достигает стойкости путем создания LNK-файла, содержащего зашифрованный бэкдор или инфошпион в разделе Startup. Затем бэкдор/инфокража расшифровывается и загружается в память как процесс PowerShell.
- Вредоносная программа использует MSI (файлы пакетов установщика Windows) и исполняемые (.exe) полезные нагрузки размером более 200 МБ, чтобы обойти анализ песочницы. Отдел реагирования на угрозы eSentire (TRU) недавно заметил, что злоумышленник(и) переключился на доставку большего количества исполняемых файлов, а не MSI.
- SolarMarker имеет возможность снимать отпечатки с браузеров пользователей, чтобы предотвратить загрузку исследователями нескольких полезных нагрузок для анализа.
- Модуль infostealer включает функцию, отвечающую за расшифровку защищенных DPAPI данных, включая учетные данные браузера и cookies.
- Бэкдор SolarMarker может извлекать дополнительные вредоносные полезные нагрузки из каналов C2 с помощью команды get_file.
Indicators of Compromise
IPv4
- 37.120.237.251
- 37.120.233.92
- 45.42.201.248
- 92.204.160.233
- 146.70.40.236
- 146.70.53.153
- 146.70.101.97
- 146.70.88.119
- 188.241.83.61
- 86.106.20.155
SHA256
- 85fb7076044071a28afb43bec12e4f8ce93525132b2ae512934529f9f09895a5
- 11543f09c416237d92090cebbefafdb2f03cec72a6f3fdedf8afe3c315181b5a
- 7cc35fbce4b353c541f1ee62366248cc072d1c7ce38b1d5ef5db4a2414f26e08
- 1ed9469724b3ba2891dc0efee29b1de93054601cb44aaf433c2b5860884dfa71
- 57171e869512862baa9e4fd15b18c1d577a31f2ca20b47435f138f989bca2d72
- bc7986f0c9f431b839a13a9a0dfa2711f86e9e9afbed9b9b456066602881ba71
- 0adfbce8a09d9f977e5fe90ccefc9612d1d742d980fe8dc889e10a5778592e4d
- af0220126a369878bda6f4972d8d7534964dea73142c18e439a439373f67ec21
- d7067ecb291c79ccd3a4d745413b85451ca26b92015a45f9ed6e5304ac715299
- 586607b7d094e4acb3373d6812e62b870c64d17f18b7c5fd929d4418a61b4f30
- 0f0ceeec9f5bca4b257997ed6adf599e8cf5c1c890fb1fa949e6905563152216
- eeecc2bd75ec77db22de5c47efe1fbef63c6b310d34bac6e3b049eef7f86c90b
- 0351dc341644bab0fff06d882510255941c9f3eb44dcdd444a54f68fbcd2d62c
- fb6c91bcf21a2cb7252672c77f85585fdc3ff6f74486a4370d566a75c146a45a