>
Insiktレポート

SolarMarkerの多層インフラストラクチャの奥深さを探る

投稿: 2024年5月13日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

情報を盗むことで知られるマルウェアであるSolarMarkerは、2021年から活動している進化する多層インフラストラクチャを利用しています。 このマルウェアは、Yellow CockatooやJupyter Infostealerとも呼ばれ、教育、医療、中小企業などのセクターを標的としています。 検出を回避するために、 Authenticode 証明書 や大きな zip ファイルなどの高度な回避手法を採用しています。

ソーラーマーカーの多層インフラストラクチャとその影響

Yellow Cockatoo、Polazert、 Jupyter Infostealer とも呼ばれる SolarMarker マルウェアは、2020 年以降着実に進化しています。 SolarMarkerの背後にいる高度で回復力のある脅威アクターは、侵害後にインフラストラクチャを迅速に再構築し、法執行機関による検出や混乱を回避するための戦術を採用する多層インフラストラクチャを構築しました。

SolarMarkerは、Authenticode証明書などの高度な回避技術を使用して、悪意のあるペイロードに正当性を与え、大きなzipファイルを使用してウイルス対策ソフトウェアを回避します。

ソーラーマーカーの事業の中核は、少なくとも2つのクラスターで構成される階層化されたインフラストラクチャーであり、1つはアクティブな運用のためのプライマリークラスターであり、もう1つは新しい戦略のテストや特定の地域や業界をターゲットにするために使用される可能性が高い。 この分離により、マルウェアの対策への適応と対応能力が強化され、特に根絶が困難になります。

Recorded Future Network Intelligence は、教育、医療、政府、ホスピタリティ、中小企業など、複数のセクターでかなりの数の被害者を明らかにしました。 このマルウェアは個人と組織の両方を標的とし、犯罪フォーラムで販売される可能性のある膨大な量のデータを盗み、さらなる悪用と攻撃につながります。

短期的には、SolarMarkerに対する防御には、マルウェアを含む一見正当なファイルのダウンロードを防ぐために、アプリケーション許可リストを適用することが含まれます。 許可リストが実行可能でない場合、企業は従業員に対して徹底的なセキュリティトレーニングを実施して、予期しないファイルのダウンロードやマルバタイジングを示す可能性のあるリダイレクトなど、潜在的な侵害の兆候を認識する必要があります。

レポートの付録に詳述されているように、YARAおよびSnortルールの使用は、現在および過去の感染を検出するために重要です。 マルウェアの性質が進化していることを考えると、これらのルールを定期的に更新し、ネットワークアーティファクトの分析などの追加の検出方法と組み合わせることが不可欠です。

長期的には、サイバー犯罪者のエコシステムを監視することは、新しい脅威を予測するために重要です。 組織は、セキュリティポリシーを改善し、防御メカニズムを強化して、SolarMarkerの背後にいるような脅威アクターの一歩先を行く必要があります。 これには、サイバー犯罪インフラストラクチャを対象とした規制措置の改善と、これらの脅威に根本的に対処するための法執行機関の取り組みが含まれます。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連