Solarmarker InfoStealer恶意软件再次传播肆虐

医疗保健和教育部门经常成为新的凭证收集活动的目标，这些活动来自“高度模块化”的基于 .NET 的信息窃取器和键盘记录器，为威胁参与者的持续发展制定了路线，同时保持在雷达之下。

据 Cisco Talos称，该恶意软件活动被称为“ Solarmarker ”，据信自 2020 年 9 月以来一直处于活跃状态，遥测数据表明早在 2020 年 4 月就有恶意行为。“就其核心而言，Solarmarker 活动似乎是由一个相当老练的演员进行的，主要专注于凭据和剩余信息盗窃，”Talos 研究人员安德鲁·温莎和克里斯·尼尔在上周发表的一篇技术文章中说。

感染由多个活动部分组成，其中主要是一个 .NET 程序集模块，该模块用作系统分析器和受害主机上用于命令和控制 (C2) 通信和进一步恶意操作的集结地，包括部署信息-窃取 Jupyter 和 Uran 等组件（可能是对 Uranus 的引用）。

虽然前者拥有从受害者的 Firefox 和谷歌 Chrome 浏览器中窃取个人数据、凭据和表单提交值的能力，但后者——以前未报告的有效载荷——充当键盘记录器来捕获用户的击键。

新的活动还伴随着策略的转变和感染链的多次迭代，即使威胁行为者抓住了 SEO 中毒的古老伎俩，这是指滥用搜索引擎优化 (SEO)获得更多关注并吸引恶意站点，或使其滴管文件在搜索引擎结果中高度可见。

“被称为 SolarMarker、Jupyter 和其他名称的恶意软件的运营商旨在使用旧技术取得新的成功：SEO 中毒，”微软安全情报团队在 6 月份透露。“他们使用成千上万个带有 SEO 关键字和链接的 PDF 文档，这些链接会启动一系列重定向，最终导致恶意软件。

Talos 对 Solarmarker 工件的静态和动态分析指向一个讲俄语的对手，尽管威胁情报组织怀疑恶意软件的创建者可能故意以这种方式设计它们以试图误导归因。

研究人员总结道：“Solarmarker 活动背后的参与者拥有中等到高级的能力。” “维护互连和轮换基础设施的数量并生成看似无限数量的不同命名的初始 dropper 文件需要大量的努力。”

“攻击者还表现出确保其活动继续进行的决心，例如在研究人员公开挑选恶意软件的先前组件后更新 Mars DLL 中 C2 通信的加密方法，以及更典型的循环策略C2 基础设施主机。”。