Os responsáveis pela ameaça persistente que está por trás do malware de roubo de informações SolarMarker estabeleceram uma infraestrutura multinível para complicar os esforços de aplicação da lei, conforme novas descobertas da Recorded Future mostram.
“A base das operações do SolarMarker é a sua infraestrutura em camadas, que consiste em pelo menos dois clusters: um primário para operações ativas e um secundário provavelmente usado para testar novas estratégias ou visar regiões ou indústrias específicas”, afirmou a empresa em um relatório publicado na semana passada.
“Essa separação aumenta a capacidade do malware de se adaptar e responder a contramedidas, tornando-o particularmente difícil de erradicar.”
O SolarMarker, conhecido pelos nomes Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada que tem exibido uma evolução contínua desde sua aparição em setembro de 2020. Ele tem a capacidade de roubar dados de vários navegadores da web e carteiras de criptomoedas, além de visar configurações VPN e RDP.
Entre os principais setores visados estão educação, governo, saúde, hotelaria e empresas de pequeno e médio porte, de acordo com dados coletados desde setembro de 2023. Isso inclui universidades renomadas, departamentos do governo, redes hoteleiras globais e provedores de saúde. A maioria das vítimas está localizada nos EUA.
Ao longo dos anos, os autores do malware têm focado seus esforços de desenvolvimento em torná-lo mais furtivo por meio do aumento do tamanho do payload, uso de certificados Authenticode válidos, mudanças inovadoras no Registro do Windows e a capacidade de executá-lo diretamente da memória em vez do disco.
Os caminhos típicos de infecção envolvem hospedar o SolarMarker em sites de download falsos que anunciam softwares populares, os quais podem ser visitados involuntariamente ou devido a envenenamento de otimização de mecanismo de pesquisa, ou por meio de um link em um e-mail malicioso.
Os inicializadores iniciais são arquivos executáveis (EXE) e arquivos do Instalador de Software da Microsoft (MSI) que, quando iniciados, levam à implementação de um backdoor baseado em .NET responsável por baixar payloads adicionais para facilitar o roubo de informações.
As sequências alternativas utilizam instaladores falsos para soltar um aplicativo legítimo (ou um arquivo enganoso), ao mesmo tempo em que lançam um carregador do PowerShell para entregar e executar o backdoor do SolarMarker na memória.
Os ataques do SolarMarker ao longo do último ano também envolveram a entrega de um backdoor hVNC baseado em Delphi chamado SolarPhantom, que permite controlar remotamente uma máquina da vítima sem o seu conhecimento.
Há evidências de que o SolarMarker é obra de um único ator de procedência desconhecida, embora pesquisas anteriores da Morphisec tenham insinuado uma possível conexão russa.
A investigação da Recorded Future nas configurações de servidores vinculadas aos servidores de comando e controle (C2) descobriu uma arquitetura multinível que faz parte de dois clusters amplos, sendo que um deles é provavelmente utilizado para fins de teste ou para visar regiões ou indústrias específicas.
A infraestrutura em camadas inclui um conjunto de servidores C2 de Nível 1 que estão em contato direto com as máquinas das vítimas. Esses servidores se conectam a um servidor C2 de Nível 2 através da porta 443. Os servidores C2 de Nível 2, do mesmo modo, se comunicam com os servidores C2 de Nível 3 por meio da porta 443, e os servidores C2 de Nível 3 se conectam consistentemente aos servidores C2 de Nível 4 pela mesma porta.
“O servidor de Nível 4 é considerado o servidor central da operação, presumivelmente usado para administrar de forma eficaz todos os servidores downstream a longo prazo”, afirmou a empresa de cibersegurança, acrescentando que também observou o servidor C2 de Nível 4 se comunicando com outro “servidor auxiliar” através da porta 8033.
