SolarMarker RAT

SolarMarker, Microsoft .NET çerçevesinde yazılmış bir Uzaktan Erişim Truva Atıdır (RAT). Aynısı, Jupyter, Yellow Cockatoo ve Polazert dahil olmak üzere çeşitli farklı isimler altında izlendi. SolarMarker'ın temel amacı ve temel işlevi, belirli tehdit aktörünün, virüs bulaşmış sisteme son aşamada bir kötü amaçlı yazılım yükü göndererek saldırıyı artırabileceği bir arka kapı görevi görmektir. SolarMarker, çok yönlülüğü farklı hacker gruplarının kendi özel ihtiyaçlarına göre yükleri konuşlandırmasına izin verdiği için çeşitli tehdit operasyonlarında kullanılmıştır.

SolarMarker, güvenliği ihlal edilen şirketten çevrimiçi bankacılık kimlik bilgilerini ele geçirme yeteneğine sahip bir sonraki aşama bankacılık Truva Atı veya kullanıcıların hesaplarını ve e-posta kimlik bilgilerini toplayabilen bir bilgi hırsızı alıp yürütebilir. Bu tür özel bilgiler daha sonra siber suçlular tarafından ağ içinde yanal olarak hareket etmek, kötü amaçlı yazılım bulaşmasını ek sistemlere yaymak veya özel kurumsal verilere daha derin erişim elde etmek için kullanılabilir. Fidye yazılımını kurumsal düzeyde dağıtmak, ihlal edilen varlığın tüm işlemlerini etkin bir şekilde kilitleyebildikleri ve büyük miktarda para ödenmesini talep edebildikleri için hacker çevreleri arasında da önemli bir artış gördü.

Google Tarafından Barındırılan Binlerce Web Sitesi SolarMarker RAT'ı Yaydı

SolarMarker RAT'ı içeren en son saldırı kampanyası, önemli bir karmaşıklık düzeyi göstermektedir. Operasyonların arkasındaki tehdit aktörü, Google tarafından barındırılan 100.000 özel tehdit alanı oluşturdu. SolarMarker'ı yayan sayfalar, makbuzlar, faturalar, özgeçmişler, anketler ve diğerleri dahil olmak üzere çeşitli formlar ve şablonlar gibi popüler iş terimlerini ve anahtar kelimeleri kullanır. Bir SEO (Arama Motoru Optimizasyonu) stratejisinin bir parçası olarak bu tür yaygın terimleri birlikte kullanarak, siber suçlular, bozuk web sitelerini üst sıralarda sıralamak ve kullanıcılara gösterilen en iyi sonuçlara yerleştirmek için Google'ın kendi Web tarayıcı botlarına güvenebilirler.

Şüphelenmeyen kullanıcılar, ihtiyaç duydukları belge formunu veya şablonu açtıklarını düşüneceklerdir. Ancak bunun yerine, SolarMarker RAT'ın kurulum zincirini başlatan bir ikili çalıştıracaklar. Varlığını daha da gizlemek için, arka kapı tehdidinin docx2rtf.exe, Expert_PDF.exe ve photodesigner7_x86-64.exe gibi çeşitli aldatıcı uygulamaları vardır. Tehdit tarafından kullanılan en son gözlemlenenlerden biri Slim PDF okuyucu.