SolarMarker RAT

SolarMarker er en Remote Access Trojan (RAT) skrevet i Microsoft .NET framework. Det samme er blevet sporet under forskellige forskellige navne, herunder Jupyter, Yellow Cockatoo og Polazert. SolarMarker har som hovedformål og kernefunktionalitet at fungere som en bagdør, hvorigennem den specifikke trusselsaktør kan eskalere angrebet ved at levere en slutniveau malware-nyttelast til det inficerede system. SolarMarker er blevet brugt i flere truende operationer, da dens alsidighed gør det muligt for forskellige hackergrupper at indsætte nyttelast i overensstemmelse med deres specifikke behov.

SolarMarker kan hente og udføre en banktrojan i næste trin, der er i stand til at kapre netbankoplysninger fra det kompromitterede firma eller en infostjæler, der er i stand til at høste brugernes konto- og e-mailoplysninger. Sådanne private oplysninger kan derefter bruges af cyberkriminelle til at bevæge sig lateralt inden for netværket, sprede malwareinfektionen til yderligere systemer eller få dybere adgang til private virksomhedsdata. Implementering af ransomware på virksomhedsniveau har også set en fremtrædende stigning blandt hackerkredse, da de effektivt kan låse hele den brudte enheds operationer ned og kræve betaling af en massiv sum penge.

Tusinder af Google-hostede websteder spreder SolarMarker RAT

Den seneste angrebskampagne, der involverer SolarMarker RAT, viser et betydeligt niveau af sofistikering. Trusselsaktøren bag operationerne har oprettet 100.000 dedikerede Google-hostede truende domæner. Siderne, der spreder SolarMarker, bruger populære forretningsudtryk og nøgleord, såsom forskellige formularer og skabeloner, herunder kvitteringer, fakturaer, genoptagelser, spørgeskemaer og andre. Ved at bruge sådanne almindelige udtryk sammen som en del af en SEO (Search Engine Optimization) -strategi kan cyberkriminelle stole på Googles egne webcrawler-bots for at rangere de beskadigede websteder en høj placering og placere dem i de øverste resultater, der vises for brugerne.

De intetanende brugere vil tro, at de åbner den dokumentformular eller skabelon, de har brug for. Imidlertid vil de i stedet udføre en binær, der initierer installationskæden af SolarMarker RAT. For yderligere at maskere sin tilstedeværelse har bagdørstruslen forskellige lokkemiddelapplikationer som - docx2rtf.exe, Expert_PDF.exe og photodesigner7_x86-64.exe. En af de seneste observerede, der bruges af truslen kaldes Slim PDF-læser.