Threat Database Backdoors SolarMarker RAT

SolarMarker RAT

SolarMarker is een Trojan voor externe toegang (RAT) geschreven in het Microsoft .NET-framework. Hetzelfde is bijgehouden onder verschillende, verschillende namen, waaronder Jupyter, Yellow Cockatoo en Polazert. Het belangrijkste doel en de kernfunctionaliteit van SolarMarker is om als een achterdeur te fungeren waardoor de specifieke bedreigingsacteur de aanval kan escaleren door een end-stage malware-payload aan het geïnfecteerde systeem te leveren. SolarMarker is gebruikt in verschillende bedreigende operaties, omdat zijn veelzijdigheid verschillende hackergroepen in staat stelt om payloads in te zetten in overeenstemming met hun specifieke behoeften.

SolarMarker kan een volgende banktrojan ophalen en uitvoeren die in staat is om inloggegevens voor online bankieren van het gecompromitteerde bedrijf te kapen, of een informatiedeler die in staat is om de account- en e-mailreferenties van gebruikers te verzamelen. Dergelijke privé-informatie kan vervolgens door de cybercriminelen worden gebruikt om lateraal binnen het netwerk te bewegen, de malware-infectie naar andere systemen te verspreiden of diepere toegang te krijgen tot privé-bedrijfsgegevens. Het gebruik van ransomware op bedrijfsniveau heeft ook een prominente stijging gezien onder hackerskringen, omdat ze de volledige activiteiten van de getroffen entiteit effectief kunnen vergrendelen en de betaling van een enorme som geld kunnen eisen.

Duizenden door Google gehoste websites verspreiden de SolarMarker RAT

De nieuwste aanvalscampagne met de SolarMarker RAT toont een aanzienlijk niveau van verfijning. De bedreigingsacteur achter de operaties heeft 100.000 speciale door Google gehoste bedreigingsdomeinen opgezet. De pagina's die SolarMarker verspreiden, gebruiken populaire zakelijke termen en trefwoorden, zoals verschillende formulieren en sjablonen, inclusief ontvangstbewijzen, facturen, cv's, vragenlijsten en meer. Door dergelijke veelgebruikte termen samen te gebruiken als onderdeel van een SEO-strategie (Search Engine Optimization), kunnen de cybercriminelen vertrouwen op de eigen webcrawler-bots van Google om de corrupte websites hoog te rangschikken en in de topresultaten te plaatsen die aan gebruikers worden getoond.

De nietsvermoedende gebruikers zullen denken dat ze het documentformulier of sjabloon openen dat ze nodig hebben. In plaats daarvan voeren ze echter een binair bestand uit dat de installatieketen van de SolarMarker RAT initieert. Om zijn aanwezigheid verder te maskeren, heeft de achterdeurbedreiging verschillende lokapplicaties zoals - docx2rtf.exe, Expert_PDF.exe en photodesigner7_x86-64.exe. Een van de laatste die door de dreiging worden gebruikt, is de Slim PDF-lezer.

Trending

Meest bekeken

Bezig met laden...