SolarMarker RAT

SolarMarker to trojan zdalnego dostępu (RAT) napisany w środowisku Microsoft .NET. To samo było śledzone pod różnymi, różnymi nazwami, w tym Jupyter, Yellow Cockatoo i Polazert. Głównym celem i podstawową funkcjonalnością SolarMarker jest działanie jako backdoor, przez który określony aktor może eskalować atak, dostarczając ładunek złośliwego oprogramowania na końcowym etapie do zainfekowanego systemu. SolarMarker był używany w kilku niebezpiecznych operacjach, ponieważ jego wszechstronność pozwala różnym grupom hakerów na rozmieszczanie ładunków zgodnie z ich określonymi potrzebami.

SolarMarker może pobrać i uruchomić kolejnego trojana bankowego zdolnego do przechwycenia danych uwierzytelniających bankowości internetowej od zainfekowanej firmy lub złodzieja informacji zdolnego do przechwytywania danych logowania do kont użytkowników i poczty e-mail. Takie prywatne informacje mogą następnie zostać wykorzystane przez cyberprzestępców do przemieszczania się bocznie w sieci, rozprzestrzeniania infekcji złośliwym oprogramowaniem na dodatkowe systemy lub uzyskania głębszego dostępu do prywatnych danych firmowych. Wdrażanie oprogramowania ransomware na poziomie korporacyjnym również odnotowało znaczny wzrost w kręgach hakerów, ponieważ mogą one skutecznie zablokować wszystkie operacje naruszonego podmiotu i zażądać zapłaty ogromnej sumy pieniędzy.

Tysiące witryn internetowych udostępnianych przez Google rozpowszechnia wskaźnik RAT SolarMarker

Najnowsza kampania ataków z udziałem SolarMarker RAT wykazuje znaczny poziom wyrafinowania. Osoba zagrażająca tym operacjom skonfigurowała 100 000 wyspecjalizowanych, hostowanych przez Google, zagrażających domen. Strony rozpowszechniające SolarMarker używają popularnych terminów biznesowych i słów kluczowych, takich jak różne formularze i szablony, w tym paragony, faktury, życiorysy, kwestionariusze i inne. Używając tak powszechnych terminów w tandemie w ramach strategii SEO (Search Engine Optimization), cyberprzestępcy mogą polegać na własnych robotach indeksujących Google w celu uszeregowania uszkodzonych witryn internetowych w wysokiej pozycji i umieszczenia ich na pierwszych miejscach w wynikach wyświetlanych użytkownikom.

Niczego nie podejrzewający użytkownicy pomyślą, że otwierają formularz dokumentu lub szablon, którego potrzebują. Jednak zamiast tego będą wykonywać plik binarny, który inicjuje łańcuch instalacji SolarMarker RAT. Aby dodatkowo zamaskować swoją obecność, zagrożenie typu backdoor ma różne aplikacje wabiące, takie jak - docx2rtf.exe, Expert_PDF.exe i photodesigner7_x86-64.exe. Jeden z ostatnich zaobserwowanych jako używany przez zagrożenie nazywa się czytnikiem Slim PDF.