Palo Alto Networksの脅威インテリジェンスチームであるUnit 42は4月18日(現地時間)、「New SolarMarker (Jupyter) Campaign Demonstrates the Malware’s Changing Attack Patterns」において、「SolarMarker」と呼ばれるトロイの木馬型マルウェアに、機能強化された新バージョンが登場したと伝えた。 アップデートされたSolarMarkerは、セキュリティ対策ソフトウェアによる検出の回避に多大な労力を費やしているほか、細かな攻撃パターンにも変化が見られるという。
SolarMarkerマルウェアは、主にSEO技術によって検索エンジンから悪意のあるファイルをダウンロードさせる手法がとられることで知られている。感染すると、被害者のPCに保存されたパスワードやクレジットカード情報、Webブラウザーのフォームに自動入力されるデータなどを盗み出すほか、ファイルの転送やC2サーバから受信したコマンドを実行する機能などを備えている。
新バージョンは、250MBを超える実行ファイルとしてダウンロードされるが、ファイルサイズを大きくすることでセキュリティソフトによる検証を回避する目的があるという。この実行ファイルは有効なデジタル証明書で署名されているため、証明書の検証でも検出することはできない(ただし、Unit 42のレポート執筆時点では、証明書チェーンは取り消されていたとのこと)。
その他、この実行ファイルは、インターネットからほかの正規のプログラムのインストーラをダウンロードして実行するようになっている。これはユーザーの目を誤魔化すための手法で、ユーザーが正規のインストーラーに注意を払ってる隙に、バックグラウンドでSolarMarkerマルウェアを展開するためのPowerShellスクリプトを実行する仕組みである。
-
ダウンロードした実行ファイルのプロパティと、偽装のために実行される正規のプログラムのインストーラ 引用:Palo Alto Networks)
SolarMarkerバックドアはC2サーバと通信する.NETベースのペイロードで、通信にはHTTPプロトコルが使用されるが、データはすべて暗号化して送信されるという。バックドアはデータを盗む出すだけでなく、PowerShellスクリプトを実行して外部からファイルを受け取ることも可能になっている。これによって、攻撃者は被害者のマシンに追加のペイロードを送り込むことができる。
Unit 42のレポートには、この新バージョンのSolarMarkerに関する攻撃手法や侵入の痕跡(IOC)などを含む詳細な分析結果がまとめられている。
