Die Tiefen der mehrschichtigen Infrastruktur von SolarMarker erkunden

SolarMarker, eine für den Diebstahl von Informationen bekannte Schadsoftware, nutzt eine sich entwickelnde, mehrstufige Infrastruktur, die seit 2021 aktiv ist. Diese auch als Yellow Cockatoo und Jupyter Infostealer bekannte Schadsoftware zielt auf Sektoren wie Bildung, Gesundheitswesen und KMU ab. Um eine Erkennung zu vermeiden, werden erweiterte Umgehungstechniken wie Authenticode-Zertifikate und große ZIP-Dateien eingesetzt.

Die mehrschichtige Infrastruktur von SolarMarker und ihre Auswirkungen

Die SolarMarker-Malware, auch als Yellow Cockatoo, Polazert und Jupyter Infostealer bezeichnet, hat sich seit 2020 stetig weiterentwickelt. Der hochentwickelte und widerstandsfähige Bedrohungsakteur hinter SolarMarker hat eine mehrstufige Infrastruktur aufgebaut, die nach einem Angriff rasch wiederhergestellt wurde, und wendet Taktiken an, um einer Entdeckung oder Störung durch die Strafverfolgungsbehörden zu entgehen.

SolarMarker verwendet fortgeschrittene Umgehungstechniken wie Authenticode-Zertifikate, die seinen bösartigen Nutzdaten einen Anschein von Legitimität verleihen, und verwendet große ZIP-Dateien, um Antivirensoftware zu umgehen.

Der Kern der Aktivitäten von SolarMarker ist seine mehrschichtige Infrastruktur, die aus mindestens zwei Clustern besteht: einem primären Cluster für den aktiven Betrieb und einem sekundären Cluster, der wahrscheinlich zum Testen neuer Strategien oder zur gezielten Ausrichtung auf bestimmte Regionen oder Branchen verwendet wird. Diese Trennung verbessert die Anpassungsfähigkeit der Schadsoftware und ihre Reaktion auf Gegenmaßnahmen, was ihre Beseitigung besonders schwierig macht.

Recorded Future Network Intelligence hat eine beträchtliche Zahl von Opfern in zahlreichen Sektoren aufgedeckt, darunter Bildung, Gesundheitswesen, Regierung, Gastgewerbe sowie kleine und mittlere Unternehmen. Die Schadsoftware zielt sowohl auf Einzelpersonen als auch auf Organisationen ab und stiehlt große Mengen an Daten, die in kriminellen Foren verkauft werden könnten, was zu weiterer Ausbeutung und Angriffen führen könnte.

Kurzfristig sollte die Abwehr gegen SolarMarker die Durchsetzung von Anwendungs-Allow-Lists umfassen, um das Herunterladen scheinbar legitimer Dateien, die Malware enthalten, zu verhindern. Wenn Zulassungslisten nicht praktikabel sind, sollten Unternehmen umfassende Sicherheitsschulungen für ihre Mitarbeiter durchführen, um Anzeichen einer möglichen Sicherheitsverletzung zu erkennen, wie etwa unerwartete Dateidownloads oder Weiterleitungen, die auf Malvertising hinweisen könnten.

Wie im Anhang des Berichts ausführlich beschrieben, ist die Verwendung der YARA- und Snort-Regeln für die Erkennung aktueller und historischer Infektionen von entscheidender Bedeutung. Angesichts der ständigen Weiterentwicklung von Malware sind regelmäßige Aktualisierungen dieser Regeln in Kombination mit zusätzlichen Erkennungsmethoden, wie der Analyse von Netzwerkartefakten, unerlässlich.

Auf lange Sicht ist die Überwachung des cyberkriminellen Ökosystems wichtig, um neue Bedrohungen vorherzusehen. Organisationen sollten ihre Sicherheitsrichtlinien verfeinern und ihre Abwehrmechanismen verbessern, um Bedrohungsakteuren wie denen hinter SolarMarker immer einen Schritt voraus zu sein. Hierzu gehören strengere Regulierungsmaßnahmen, die auf die Infrastruktur der Cyberkriminalität abzielen, sowie polizeiliche Bemühungen, diese Bedrohungen an der Quelle zu bekämpfen.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.