Многоуровневая инфраструктура вредоноса не оставляет корпоративному сектору никаких не шансов.
Исследователи Recorded Future недавно обнаружили, что создатели вредоносного ПО SolarMarker разработали многоуровневую инфраструктуру, чтобы усложнить работу правоохранительных органов.
«Основой операций SolarMarker является многослойная инфраструктура, состоящая минимум из двух кластеров: основной для активных операций и вторичный, вероятно, используемый для тестирования новых стратегий или для атаки на конкретные регионы или отрасли», — говорится в отчёте компании.
Такая структура позволяет SolarMarker адаптироваться и отвечать на контрмеры, что делает его удаление особенно трудным. Вредоносное ПО, известное также как Deimos, Jupyter Infostealer, Polazert и Yellow Cockatoo, продолжает неустанно эволюционировать с момента его появления в сентябре 2020 года.
SolarMarker способен красть данные из различных веб-браузеров, криптовалютных кошельков, а также нацеливаться на конфигурации VPN и RDP. Среди наиболее пострадавших отраслей — образование, государственный сектор, здравоохранение, гостиничный, а также малый и средний бизнес. Большинство жертв находятся в США.
Создатели SolarMarker постоянно работают над улучшением его скрытности, увеличивая размер полезной нагрузки, используя действительные сертификаты Authenticode и новые изменения в реестре Windows. Кроме того, вредоносное ПО может запускаться непосредственно из памяти заражённого устройства, а не с диска.
Заражение SolarMarker обычно происходит через фальшивые сайты загрузки, рекламирующие популярное ПО, или через ссылки в вредоносных письмах. Первичные загрузчики представляют собой исполняемые файлы (EXE) и файлы установщика Microsoft Software Installer (MSI), которые при запуске разворачивают бэкдор на основе .NET для скачивания дополнительных полезных нагрузок.
Альтернативные последовательности атак включают подделку установщиков, которые одновременно запускают PowerShell-загрузчик для доставки и выполнения SolarMarker в памяти. В прошлом году также наблюдались атаки с использованием бэкдора на основе Delphi, называемого SolarPhantom, позволяющего удалённо управлять компьютером жертвы.
По данным компании eSentire, в феврале 2024 года угроза от SolarMarker включала использование инструментов Inno Setup и PS2EXE для генерации полезных нагрузок. А совсем недавно была обнаружена версия на основе PyInstaller, распространяемая с использованием инструкции по эксплуатации посудомоечной машины в качестве приманки.
Существует предположение, что SolarMarker может быть делом рук киберпреступника неизвестного происхождения, действующего в одиночку.
Новые данные об этой угрозе подчёркивают высокую степень сложности и продуманности инфраструктуры SolarMarker, что делает борьбу с данным вредоносным ПО особенно трудной.
Ты не вирус, но мы видим, что ты активен!
Подпишись, чтобы защититься
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
