数字掠夺者 SolarMarker 巧妙地利用受害者的数据“玩捉迷藏”

恶意软件的多层基础设施让企业部门没有机会。

Recorded Future 研究人员最近发现 SolarMarker 恶意软件的创建者开发了多层基础设施，使执法工作变得更加困难。

记录未来 最近发现， SolarMarker

“SolarMarker 运营的核心是一个多层基础设施，至少由两个集群组成：一个主要集群用于主动运营，另一个集群可能用于测试新策略或攻击特定地区或行业，”该公司表示在其报告中。

这种结构允许 SolarMarker 适应并响应对策，使其特别难以移除。该恶意软件也称为 Deimos、Jupyter Infostealer、Polazert 和 Yellow Cockatoo，自 2020 年 9 月推出以来一直在不断发展。

SolarMarker 能够从各种网络浏览器、加密货币钱包窃取数据，还可以针对 VPN 和 RDP 配置窃取数据。受打击最严重的行业包括教育、公共部门、医疗保健、酒店和中小企业。大多数受害者都在美国。

VPN RDP

SolarMarker 的创建者不断努力通过增加有效负载大小、使用有效的 Authenticode 证书和对 Windows 注册表进行新更改来提高其隐秘性。此外，恶意软件可以直接从受感染设备的内存启动，而不是从磁盘启动。

SolarMarker 感染通常通过宣传流行软件的虚假下载网站或恶意电子邮件中的链接发生。主要下载程序是可执行文件 (EXE) 和 Microsoft 软件安装程序 (MSI) 文件，执行时会部署基于 .NET 的后门来下载其他有效负载。

eSentire