提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

思科塔洛斯公司的研究人员安德鲁·温莎和克里斯·尼尔看到了太阳能市场的新活动，一个基于.NET的信息窃取者和键盘记录者，他们称之为“高度模块化”。

研究人员解释说，Solarmarker活动是由“相当老练”的参与者进行的，他们将精力集中在凭证和剩余信息盗窃上。

其他线索，如键盘记录者的目标语言部分，表明网络攻击者对欧洲组织感兴趣，或者无法以俄语、德语和英语以外的任何语言处理文本。

“无论如何，他们对哪些受害者感染了恶意软件并不特别或过于谨慎。在最近这场运动的高潮中，塔洛斯观察到医疗保健、教育和市政府垂直部门最常成为目标，”报告说。

“紧随这些部门之后的是一小部分制造业组织，以及宗教机构中的一些个人组织，金融服务和建筑/工程。尽管受害者学似乎集中在几个垂直行业中，但我们以适度的信心评估，这场运动并非针对任何特定行业，至少不是故意的。”

该报告补充说，微软研究人员认为Solarmarker活动使用SEO毒害，是为了让他们的滴管文件在搜索引擎结果中高度可见，潜在地扭曲了“哪些类型的组织可能会遇到恶意文件，取决于当时流行的主题。”

Talos研究人员警告组织注意恶意软件，因为观察到的模块显示受害者容易“窃取敏感信息”，不仅来自于员工个人的浏览器使用情况，例如他们是否输入了信用卡号或其他个人信息，还包括对组织安全至关重要的信息，尤其是凭据。”

Cisco指出，该恶意软件以前与“d.m”一起使用，但现在与“Mars，“登台模块。研究人员还发现了另一个以前未被报道的模块，他们将其命名为“天王星”。

“报告称，塔洛斯正在积极追踪一个可追溯到2020年9月的与Solarmarker信息窃取者合作的恶意软件活动。”一些DNS遥测和相关活动甚至可以追溯到2020年4月。当时，我们发现了三个主要DLL组件和多个使用类似行为的变体。”

根据研究，攻击者通常会在受害者主机上注入一个stager，用于命令和控制通信以及进一步的恶意操作，然后观察到stager注入了第二个名为“Jupyter”的组件。

当Cisco分析师检查名为“Jupyter”的DLL模块时，他们发现它能够窃取个人信息，来自受害者Firefox和Chrome安装和用户目录的凭据和表单提交值。

该模块使用HTTP POST请求将信息发送到其C2服务器。攻击者使用了多种措施——比如在“Unprotect”方法调用中包含数据保护范围参数的“CurrentUser”标志——使解密或分析受害者和C2服务器之间的原始数据的尝试复杂化。

“Jupyter信息窃取器是Solarmarker第二个被丢弃的模块。在执行许多Solarmarker示例的过程中，我们观察到C2向受害者主机发送额外的PS1有效负载，”报告说。

“C2的响应以与包含受害者系统信息的JSON对象相同的方式编码。在反转base64和XOR编码后，它将该字节流写入磁盘上的PS1文件，运行它，然后删除该文件。这个新的PowerShell脚本包含一个base64编码的.NET DLL，它也是通过.NET的反射程序集加载注入的。”

分析人员观察到stager具有浏览器表单和其他信息窃取功能。攻击者还使用在较旧的活动中发现的名为“Uran”的键盘记录器。

“Solarmarker的暂存组件充当中央执行中心，促进与C2服务器的初始通信，并允许将其他恶意模块丢弃到受害主机上，“报告解释道。

”在我们观察到的数据中，stager被部署为一个名为'd'的.NET程序集和一个名为'm'的执行类（在本分析中统称为'd.m'）。恶意软件在执行时会将大量文件提取到受害者主机的“AppData\Local\Temp”目录，包括与原始下载文件同名的TMP文件和PowerShell脚本文件（PS1），该攻击的名称来自于“AppData\Roaming\solarmarker.dat”文件，报告称该文件是受害者主机识别标签。

该调查导致研究人员发现了一个“以前未报告的第二个潜在有效载荷”，名为“天王星”，他们说，该文件源于Solarmarker基础设施上位于“on offtrack[.]biz/get/Uran.PS1”的文件“Uran.PS1”。

键盘记录器恶意软件使用.NET运行时API中的各种工具来执行诸如捕获用户击键和相关元数据之类的操作，它将查找受害者主机上安装的可用输入语言和键盘布局，并将其两个字母的ISO代码作为附加属性附加到所收集的键盘记录数据。有趣的是，在这种情况下，演员在默认使用英语标签之前，会专门检查德语和俄语字符集。

“使用线程睡眠调用延迟天王星的事件循环，提取设置为每10000秒发生一次。此POST comm模块的主请求也使用HTTP comm方法与Solarmarker的C2基础设施进行通信。”

研究人员注意到，Solarmarker的一般执行流程在不同变体之间没有太大变化。大多数情况下，攻击者都想安装后门，但塔洛斯的研究人员表示，大约在5月底，他们开始在遥测中注意到“新的太阳能标记器活动的激增”。

最新版本的特点是调整了初始父滴管的下载方法，并升级到一个名为“火星”的新登台组件。在我们对早期活动的研究中，Talos最初认为受害者是通过在免费网站服务中托管的外观普通、虚假的文件共享页面下载Solarmarker的父母恶意PE文件，但从我们在遥测中找到Solarmarker的Dropper使用的文件名到试图找到它们的下载URL，许多虚拟帐户都变得不活跃了，”Cisco研究人员写道。

“第三方恶意软件分析师在他们自己关于Solarmarker的报告中证实了这种交付方法。例如，我们看到一些下载页面被托管在谷歌网站上的可疑账户下。这些链接将受害者指向一个页面，该页面提供以PDF或Microsoft Word文件形式下载文件的功能。在登录到最终下载页面之前，跟随下载链接通过多个重定向跨不同的域发送受害者。这种通用的方法没有改变，在我们的遥测中发现的许多父文件名可以在谷歌网站上托管的可疑网页上找到，尽管该演员已经改变了他们的最终诱惑页面。”

攻击者对最终下载页面进行了重大改进，以使其看起来更合法。

最新版本还包括一个诱饵程序PDFSam，这是“与Solarmarker初始化的其余部分一起执行的，通过试图看起来像合法文件来误导受害者。”

尽管报告中有一些证据表明说俄语的人创建了Solarmarker，正如研究人员所说，从SOLARKER下载脚本的风险并不足以限制其他组织对SOLARKEP的信任继续改进其恶意软件和工具，以及替代其C2基础设施，以便在可预见的未来延长其活动，“该报告补充道。

安全团队发现，使用双重攻击向量的VBA Rat掩埋了克里米亚宣言

由于在美洲的销售，Fortinet超过了华尔街对第二季度的预期

Prezi宣布与谷歌视频内容工作区集成

2021年最佳便携式显示器：通过注册，随时随地工作

”，您同意使用条款并确认隐私政策中概述的数据实践。

您还将免费订阅ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS公司系列的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:39