في إشارة إلى أن الجهات الفاعلة في التهديد تقوم باستمرار بتغيير تكتيكاتها وتحديث إجراءاتها الدفاعية، تم العثور على مشغلي سرقة معلومات (SolarMarker) للاستفادة من حيل سجل ويندوز المتخفي لإنشاء مثابرة طويلة المدى على الأنظمة المخترقة. وقالت شركة الأمن السيبراني سوفوس (Sophos)، التي رصدت السلوك الجديد ، إن عمليات زرع الوصول عن بُعد لا تزال تُكشف على الشبكات المستهدفة على الرغم من أن الحملة تشهد انخفاضًا في نوفمبر 2021.

هذا وقد تم ربط البرمجيات الخبيثة المستندة إلى شبكة الإنترنت بثلاث موجات هجوم مختلفة على الأقل في عام 2021، نظرًا لتفاخرها بقدرات جمع المعلومات، وقد استفادت المجموعة الأولى، التي تم الإبلاغ عنها في أبريل، من تقنيات التسمم بمحركات البحث لخداع المتخصصين في مجال الأعمال لزيارة موقع قوقل البسيط المواقع التي قامت بتثبيت (SolarMarker) على أجهزة الضحية.

ثم في أغسطس، لوحظ البرامج الضارة استهداف قطاعي الرعاية الصحية والتعليم بهدف جمع وثائق التفويض والمعلومات الحساسة. وتعدُّ سلاسل العدوى اللاحقة التي وثقتها مورفيسيك في سبتمبر 2021 أبرز استخدام مثبتات (MSI) لضمان تسليم البرامج الضارة. ويبدأ تشغيل (Solarmarker Modus) مع إعادة توجيه الضحايا إلى مواقع ديكوي (Decoy) التي تسقط حمولات (MSI Installer)، والتي، أثناء تنفيذ برامج تثبيت مشروعة على ما يبدو مثل أدوب أكروبات بر دي سي (Adobe Acrobat Pro DC) أوووندرشير بي دي إف (Wondershare Pdfelement) أو Nitro Pro، تطلق أيضا برنامج نصي PowerShell لنشر البرامج الضارة.

كانت جهود تحسين محركات البحث هذه ، التي استفادت من مجموعة من مناقشات مجموعات Google وصفحات الويب المخادعة ووثائق PDF المستضافة على مواقع الويب المخترقة (عادةً WordPress) ، فعالة جدًا لدرجة أن استدراج SolarMarker كان عادةً في أعلى نتائج البحث أو بالقرب منه للعبارات SolarMarker الجهات الفاعلة المستهدفة ، قال الباحثان في سوفوس جابور زابانوس وشون غالاغر في تقرير مشترك مع The Hacker News.

تم تصميم مثبّت PowerShell لتغيير سجل Windows وإفلات ملف .LNK في دليل بدء تشغيل Windows لتأسيس استمرار. ينتج عن هذا التغيير غير المصرح به تحميل البرامج الضارة من حمولة مشفرة مخبأة بين ما أطلق عليه الباحثون “شاشة دخان” من 100 إلى 300 ملف غير هام تم إنشاؤها خصيصًا لهذا الغرض.

أوضح الباحثون أنه “في العادة يتوقع المرء أن يكون هذا الملف المرتبط ملفًا تنفيذيًا أو ملفًا نصيًا”. ولكن بالنسبة لحملات SolarMarker هذه ، يعد الملف المرتبط أحد الملفات العشوائية غير المرغوب فيها ، ولا يمكن تنفيذه

ما هو أكثر من ذلك، يتم استخدام ملحق الملفات الفريد والعشوائي المستخدم للملف غير المرتبط المرتبط لإنشاء مفتاح نوع ملف مخصص، والذي يعمل في نهاية المطاف لتنفيذ البرامج الضارة أثناء بدء تشغيل النظام عن طريق تشغيل أمر PowerShell من السجل.

Backdoor، من جانبها، يطور أبدا، يتميز بمجموعة من الوظائف التي تسمح لها بسرقة معلومات من متصفحات الويب، وتسهيل سرقة Cryptocurrency، وتنفيذ الأوامر والثنائيات التعسفية، يتم إرجاع النتائج إلى خادم بعيد.

وقال غالاغر “إن الوجبات الجاهزة الهامة الأخرى […]، والتي شوهدت أيضا في نقاط الضعف Proxylogon التي استهدفت خوادم الصرف، هو أن المدافعين يجب عليهم التحقق دائما ما إذا كان المهاجمين قد تركوا شيئا ما في الشبكة التي يمكنهم العودة إليها لاحقا. “بالنسبة إلى Proxylogon، كانت هذه قذائف الويب، من أجل Solarmarker، هذا خلفية خلسة ومستمرة وفقا ل Sophos Telematics لا تزال نشطة بعد انتهاء الحملة”.

يستخدم Solarmarker Malware تقنيات جديدة للاستمرار في أنظمة اختراق (Thehackernews.com)