SolarMarker wehrt sich mit mehrschichtiger Infrastruktur gegen Takedown
Die Bedrohungsakteure hinter der SolarMarker-Malware haben eine mehrstufige Infrastruktur entwickelt, um den Strafverfolgungsbehörden das Vorgehen zu erschweren. Neue Erkenntnisse von Recorded Future belegen die Hartnäckigkeit dieser Gruppe.
Das Herzstück der SolarMarker-Operationen ist eine mehrschichtige Infrastruktur, bestehend aus mindestens zwei Clustern: einem primären für aktive Operationen und einem sekundären, vermutlich für das Testen neuer Strategien oder das Anvisieren bestimmter Regionen oder Branchen. Diese Struktur verbessert die Anpassungsfähigkeit der Malware und erschwert ihre Bekämpfung, wie Recorded Future in einem aktuellen Bericht mitteilte.
SolarMarker, auch bekannt als Deimos, Jupyter Infostealer, Polazert und Yellow Cockatoo, ist eine hochentwickelte Bedrohung, die sich seit ihrem Auftauchen im September 2020 kontinuierlich weiterentwickelt hat. Die Malware kann Daten aus Webbrowsern und Kryptowährungs-Wallets stehlen sowie VPN- und RDP-Konfigurationen angreifen. Laut den Daten, die seit September 2023 über die Malware gesammelt wurden, zielt SolarMarker insbesondere auf die Bereiche Bildung, Regierung, Gesundheitswesen, Gastgewerbe sowie kleine und mittlere Unternehmen ab, darunter prominente Universitäten, Regierungsbehörden, globale Hotelketten und Gesundheitsdienstleister. Ein Großteil der Opfer befindet sich in den USA.
Im Laufe der Jahre haben die Entwickler von SolarMarker viel daran gefeilt, die Malware unauffälliger zu machen. So werden nun größere Mengen an Nutzdaten transportiert, gültige Authenticode-Zertifikate verwendet und Änderungen an der Windows-Registrierung durchgeführt. Außerdem erfolgt die Ausführung mittlerweile direkt aus dem Speicher anstatt wie zu Beginn von der Festplatte.
Downloader-Websites
Die Malware wird häufig über gefälschte Downloader-Websites verbreitet, die beliebte Software bewerben. Opfer gelangen entweder durch Suchmaschinenoptimierung (SEO) oder durch Links in bösartigen E-Mails auf diese Seiten.
Die anfänglichen Dropper sind oft ausführbare Dateien (EXE) und Microsoft Software Installer (MSI). Wenn sie ausgeführt werden, installieren sie eine .NET-basierte Backdoor, die weitere schädliche Daten herunterlädt, um Informationen zu stehlen.
Alternativ können die gefälschten Installationsprogramme eine legitime Anwendung oder eine Täuschungsdatei ablegen und gleichzeitig einen PowerShell-Loader starten, der die SolarMarker-Backdoor im Speicher installiert und ausführt.
Neue PyInstaller-Version
Im vergangenen Jahr wurde bei SolarMarker-Angriffen die Delphi-basierte hVNC-Backdoor SolarPhantom eingesetzt, die es ermöglicht, den Rechner eines Opfers unbemerkt fernzusteuern.
„In den letzten Fällen hat der SolarMarker-Bedrohungsakteur abwechselnd Inno Setup– und PS2EXE-Tools verwendet, um Nutzdaten zu generieren“, so das Cybersicherheitsunternehmen eSentire im Februar 2024.
Vor zwei Monaten wurde eine neue PyInstaller-Version der Malware entdeckt, die sich über ein Handbuch für Geschirrspüler verbreitete, wie ein Malware-Forscher herausfand, der SolarMarker seit langem beobachtet.
Es gibt Hinweise darauf, dass SolarMarker das Werk eines Einzelkämpfers unbekannter Herkunft ist. Frühere Untersuchungen von Morphisec deuteten auf eine mögliche russische Verbindung hin.
Laut Recorded Future zeigt die Untersuchung der Serverkonfigurationen eine mehrschichtige Architektur, die zu zwei großen Clustern gehört. Ein Cluster wird wahrscheinlich zu Testzwecken oder für gezielte Angriffe verwendet.
Die Infrastruktur umfasst mehrere Ebenen von Command-and-Control (C2)-Servern. Die Tier-1-C2-Server stehen in direktem Kontakt mit den Rechnern der Opfer und verbinden sich über Port 443 mit Tier-2-C2-Servern. Diese kommunizieren ebenfalls über Port 443 mit Tier-3-C2-Servern, und Tier-3-Server stellen wiederum Verbindungen zu Tier-4-C2-Servern her.
„Der Tier-4-Server wird als zentraler Server angesehen, der vermutlich die nachgelagerten Server langfristig verwaltet“, so Recorded Future. Das Unternehmen beobachtete auch, dass der Tier-4-Server über Port 8033 mit einem „Hilfsserver“ kommunizierte, der wahrscheinlich zur Überwachung oder als Backup-Server dient.