Last Updated on 2024-08-16 05:50 by admin
SolarMarker情報窃盗マルウェアの背後にいる脅威アクターが、法執行機関の取り締まりを複雑にするために多層インフラストラクチャを確立した。Recorded Futureの新しい調査によると、SolarMarkerの運用の核心は、少なくとも2つのクラスターからなる層状インフラストラクチャで、一つはアクティブな運用用、もう一つは新しい戦略のテストや特定の地域や産業をターゲットにするために使用される可能性がある。この分離により、マルウェアは対策に適応し、対応する能力を高め、根絶が特に困難になる。
SolarMarkerは、Deimos、Jupyter Infostealer、Polazert、Yellow Cockatooとしても知られ、2020年9月の出現以来、継続的に進化を遂げてきた。このマルウェアは、複数のウェブブラウザや暗号通貨ウォレットからデータを盗む能力があり、VPNやRDP設定を対象とする。教育、政府、医療、ホスピタリティ、中小企業などが主なターゲットで、2023年9月以降、著名な大学、政府機関、グローバルホテルチェーン、医療提供者が含まれる。被害者の大多数は米国に位置している。
マルウェアの作者は、ペイロードサイズの増加、有効なAuthenticode証明書の使用、新しいWindowsレジストリ変更、ディスクではなくメモリから直接実行する能力を通じて、より隠密性を高めることに開発努力を集中してきた。感染経路には、人気ソフトウェアを宣伝する偽のダウンローダーサイトにSolarMarkerをホストし、被害者が意図せずに訪れるか、検索エンジン最適化(SEO)の毒を使って訪れるか、または悪意のあるメールのリンクを介して行われる。初期のドロッパーは、実行されると情報窃盗を促進するための追加のペイロードをダウンロードする.NETベースのバックドアの展開につながる実行可能ファイル(EXE)とMicrosoft Software Installer(MSI)ファイルの形を取る。代替シーケンスは、偽のインストーラーを利用して正当なアプリケーション(またはデコイファイル)をドロップし、同時にSolarMarkerバックドアをメモリ内で配信して実行するためのPowerShellローダーを起動する。
過去1年間のSolarMarker攻撃には、被害者のマシンを知らず知らずのうちに遠隔操作できるDelphiベースのhVNCバックドアであるSolarPhantomの配信も含まれている。最近では、2ヶ月前に新しいPyInstallerバージョンのマルウェアが、デコイとして使用された食器洗い機のマニュアルを使って野生で広がっていることが確認された。SolarMarkerが単独のアクターによる作業であることを示唆する証拠があり、以前のMorphisecの研究はロシアの接続可能性を示唆していた。Recorded Futureの調査では、コマンドアンドコントロール(C2)サーバーにリンクされたサーバー構成の調査から、テスト目的や特定の地域や産業をターゲットにするために使用される可能性のある2つの広範なクラスターの一部である多層アーキテクチャが明らかになった。
【ニュース解説】
SolarMarkerとは、2020年9月に初めて確認された情報窃盗型のマルウェアで、その後も進化を続けています。このマルウェアは、特に教育、政府、医療、ホスピタリティ、中小企業などの分野を狙い、ウェブブラウザや暗号通貨ウォレットからデータを盗み出す能力を持っています。米国を中心に多くの被害が報告されています。
SolarMarkerの運用者は、法執行機関による取り締まりを困難にするため、複雑な多層インフラストラクチャを構築しています。このインフラストラクチャは、アクティブな運用用のクラスターと、新しい戦略のテストや特定の地域や産業をターゲットにするために使用される可能性のあるセカンダリクラスターから成り立っています。このような構造は、マルウェアが対策に迅速に適応し、対応する能力を高めることを可能にし、その根絶を困難にしています。
感染経路としては、偽のダウンローダーサイトや悪意のあるメールのリンクを通じて、被害者がSolarMarkerに感染します。このマルウェアは、実行可能ファイルやMicrosoft Software Installerファイルの形を取り、感染したデバイスに.NETベースのバックドアを展開し、追加のペイロードをダウンロードして情報窃盗を行います。
SolarMarkerの進化には、ペイロードサイズの増加、有効なAuthenticode証明書の使用、新しいWindowsレジストリ変更、メモリからの直接実行などが含まれます。これらの技術は、マルウェアの隠密性を高め、検出を避けることを目的としています。
このマルウェアの背後にいる脅威アクターは、単独の個人である可能性があり、以前の研究ではロシアとの関連性が示唆されていました。しかし、その正確な起源はまだ不明です。
SolarMarkerの存在と進化は、サイバーセキュリティの分野において重要な課題を提起しています。特に、複雑なインフラストラクチャを持つマルウェアに対する効果的な対策の開発や、法執行機関による迅速な対応が求められます。また、個人や組織は、偽のダウンローダーサイトや悪意のあるメールに注意し、セキュリティ対策を強化することが重要です。長期的には、このような脅威に対抗するための国際的な協力や情報共有の強化も必要とされるでしょう。
from SolarMarker Malware Evolves to Resist Takedown Attempts with Multi-Tiered Infrastructure.