SolarMarker APT 在新的水坑攻击中回归

admin 2022年10月7日22:49:29评论29 views字数 2697阅读8分59秒阅读模式

SolarMarker APT 在新的水坑攻击中回归


臭名昭著的 SolarMarker 威胁行动组织以其攻击策略的新变化标志着它的回归。它现在利用伪造的 Chrome 浏览器更新作为水坑攻击的一部分来分发同名的信息窃取恶意软件。 

受损的 WordPress 网站提供恶意软件

  • 根据 eSentire 的研究人员的说法,黑客将 SolarMarker 信息窃取恶意软件注入了已知会吸引商业专业人士的网站。 
  • 这些网站是使用可能包含漏洞的免费内容管理系统 (CMS) 构建的,因此它们相对容易受到攻击。 
  • 威胁行为者使用 Google Dorking 技术并进行源代码搜索以识别此类易受攻击的网站,然后再将恶意代码注入其中。
  • 发现一个此类受感染的网站属于一家医疗设备制造商。当员工访问该网站时,系统会提示他们下载执行 SolarMarker 恶意软件的虚假 Chrome 更新。 

SolarMarker 正在测试一种新方法

以前,SolarMarker 黑客使用SEO 中毒来引诱专业人员访问他们的恶意软件文件。 
  • 然而,使用虚假 Chrome 更新狙击员工的技术表明,攻击者正在测试一种新方法来启动他们的信息窃取恶意软件。
  • 攻击者很可能也在利用假 Firefox 和假 Edge 更新作为他们新活动的一部分。
     

SolarMarker 正在使用水坑攻击和伪造的 Chrome 浏览器更新来感染商业专业人士


在过去的三个月里,eSentire 的安全研究团队威胁响应部门 (TRU) 没有观察到任何涉及流行的信息窃取恶意软件 SolarMarker 的网络攻击。然而,本周,TRU 见证了 SolarMarker 以全新的策略重返黑客领域。SolarMarker 威胁参与者现在利用伪造的 Chrome 浏览器更新作为水坑攻击的一部分(图 1)。以前,SolarMarker 黑客使用搜索引擎优化 (SEO) 中毒或 Spamdexing 作为引诱商业专业人士访问其载有恶意软件的商业文档的方法。受害者在网上搜索流行的商业文件和商业表格的免费模板。然而,他们不知道的是,当他们去下载这些文件时,却装满了 SolarMarker 恶意软件。


受损的 WordPress 网站成为黑客的恶意水坑


前所述,TRU 发现 SolarMarker 威胁参与者利用伪造的 chrome 浏览器更新作为水坑攻击的一部分。当黑客寻找并成功地向在线网站注入恶意软件时,就会发生水坑攻击。黑客将选择已知会吸引他们要瞄准的受害者类型的网站。在 TRU 本周关闭的攻击中,TRU 评估说 SolarMarker 黑客的目标是商业专业人士。


黑客如何危害商业网站进行水坑攻击?不幸的是,许多网站都是使用免费的内容管理系统 (CMS) 构建的,这些系统可能包含漏洞,因此相对容易受到攻击。威胁行为者只需要使用“Google Dorking”技术并进行源代码搜索,通过利用这些技术,威胁行为者就可以识别易受攻击的网站作为目标。


在这次攻击中,SolarMarker 黑客针对的是一个使用内容管理系统 WordPress 构建的易受攻击的商业网站。与之前的 SolarMarker 活动不同,受害者不是在寻找商业文档模板或表格。受害者是一家税务咨询机构的员工,在谷歌上搜索了一家医疗设备制造商的名字。当该员工访问医疗设备制造商的 WordPress 网站时,系统会提示他们下载伪造的 Chrome 更新。这诱使员工下载并执行伪装成 Chrome 更新的 SolarMarker。

SolarMarker APT 在新的水坑攻击中回归

图 1:新的 SolarMarker 攻击活动呈现的虚假 Chrome 更新覆盖

SolarMarker 黑客是在测试新策略还是发起新的攻击活动?


在 SolarMarker 感染长期中断后,TRU 仅观察到上述单一感染。由于 SolarMarker 事件不依赖于大规模网络钓鱼电子邮件活动,因此以前的事件往往会在恶意软件处于活动状态以及员工浏览 Web 以获取文档和模板时逐渐发生(图 2)。用虚假更新狙击员工并不是一种新技术。SocGholish 恶意软件使用这种社会工程方法。根据 TRU 研究,这些攻击活动很可能与传播LockBit 有关勒索软件。SocGholish 是一种基于 JavaScript 的恶意软件,它伪装成通过受感染网站发送给受害者的合法浏览器更新,它在受害者的 IT 网络上建立了初步立足点,允许入侵专家部署勒索软件并进行其他恶意活动。

SolarMarker APT 在新的水坑攻击中回归

图 2:eSentire 在 2022 年检测到并关闭的 SolarMarker 事件

不是 SocGholish,不限于 Chrome


TRU 的恶意软件分析得出的结论是,SolarMarker 和 SocGholish 之间的攻击方法的技术细节完全不同。鉴于仅观察到一次此类事件,此事件背后的威胁参与者可能正在测试新方法。经过长时间的中断后,一个单一事件也可能标志着新的SolarMarker 攻击活动的开始。


虚假浏览器更新覆盖设计基于受害者在访问受感染网站时使用的浏览器。除了 Chrome,用户还可能会收到虚假的 Firefox 或 Edge 更新 PHP 页面,该页面托管在 hxxp://shortsaledamagereports[.]com 上。该页面包含另一个包含有效负载的嵌入式链接(图 3)。

SolarMarker APT 在新的水坑攻击中回归

图 3:SolarMarker 事件中 Fake Chrome Update 覆盖的嵌入式 Payload

建议


SocGholish、SolarMarker 和 GootLoader 等路过式下载恶意软件会在使用浏览器时感染员工的端点。为减少路过事件的普遍性和影响:

  1. 提高员工意识——浏览器更新通常是今天自动进行的,每当您有疑问时,您可以使用浏览器的更新功能,而不是依赖下载的文件。对于 Chrome 浏览器,用户应特别遵循本指南。诱使用户下载“浏览器更新”是威胁参与者在受害者端点上执行恶意软件的常用方法。
  2. 不要从未知站点下载文件——即使是看似无害的事情,例如寻找要使用的模板或协议表格,也可能以感染告终。威胁参与者研究企业寻找的文档类型,并尝试通过搜索引擎优化将其放在他们面前。从 Internet 下载内容时仅使用受信任的来源,并避免使用免费和捆绑软件。
  3. 监控端点——许多社会工程攻击还滥用受信任的 Windows 进程,使它们难以被传统的防病毒软件检测到。端点监控确实需要经常更新规则以检测最新的活动,但所提供的可见性和保护使这项工作得到了充分利用。
  4. 威胁情报 – 监控威胁形势可帮助您实施相关的端点监控和用户意识策略,以阻止当今的威胁。
员工需要注意与自动出现在其屏幕上的浏览器更新相关的威胁。他们不应从任何未知站点或来源下载文件,因为它们可能带有恶意软件。在此类恶意软件活动中安装端点检测软件并利用威胁情报可以帮助组织在威胁造成进一步损害之前及早发现威胁。

原文始发于微信公众号(网络研究院):SolarMarker APT 在新的水坑攻击中回归

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月7日22:49:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SolarMarker APT 在新的水坑攻击中回归http://cn-sec.com/archives/1334148.html

发表评论

匿名网友 填写信息