SolarMarker恶意软件使用新技术在被黑客攻击的系统上持久存在

有迹象表明，威胁行为人不断改变策略，更新防御措施，发现SolarMarker信息窃取者和后门的运营商利用秘密Windows注册表技巧，在受损系统上建立长期持久性。

Cybersecurity firm Sophos, which spotted the new behavior, said that the remote access implants are still being detected on targeted networks despite the campaign witnessing a decline in November 2021.

该公司拥有信息收集和后门功能。基于网络的恶意软件已被链接到至少三个不同的攻击波在2021。第一组是在4月份报道的，利用搜索引擎中毒技术诱使商业专业人士访问在受害者机器上安装SolarMarker的粗略谷歌网站。

然后在8月，人们观察到该恶意软件以医疗和教育部门为目标，目的是收集证书和敏感信息。2021年9月MelsieC所记录的随后的感染链强调使用MSI安装程序来确保恶意软件的交付。

SolarMarker的作案手法始于将受害者重定向到丢弃MSI安装程序有效载荷的诱饵网站，该网站在执行Adobe Acrobat Pro DC、Wondershare PDFelement或Nitro Pro等看似合法的安装程序时，也会启动PowerShell脚本来部署恶意软件。

Sophos研究人员Gabor Szappanos说：“这些搜索引擎优化工作结合了谷歌群组讨论、欺骗性网页和托管在受损（通常是WordPress）网站上的PDF文档，非常有效，以至于SolarMarker诱饵通常位于或接近SolarMarker参与者目标短语搜索结果的顶部。”肖恩·加拉赫在与《黑客新闻》分享的一份报告中说。

PowerShell安装程序旨在更改Windows注册表并删除。LNK文件进入Windows的启动目录，以建立持久性。这种未经授权的更改会导致恶意软件从隐藏在研究人员所谓的“烟幕”中的加密有效载荷中加载，该“烟幕”由专门为此目的创建的100到300个垃圾文件组成。

“通常，人们会认为这个链接文件是一个可执行文件或脚本文件，”研究人员详细说明。“但对于这些SolarMarker活动，链接文件是随机垃圾文件之一，无法自行执行。”

此外，链接的垃圾文件使用的唯一随机文件扩展名被用来创建自定义文件类型密钥，该密钥最终用于在系统启动期间通过从注册表运行PowerShell命令来执行恶意软件。

就后门而言，它正在不断发展，具有一系列功能，允许它从web浏览器窃取信息，促进加密货币盗窃，并执行任意命令和二进制文件，其结果被过滤回远程服务器。

“另一个重要的收获，Gallagher说：“针对Exchange服务器的ProxyLogon漏洞也表明了这一点，即防御者应该始终检查攻击者是否在网络中留下了可以稍后返回的东西。”对于ProxyLogon来说，这是网络外壳，对于SolarMarker来说，这是一个隐蔽而持久的后门，据Sophos telematics称，在活动结束数月后，它仍然处于活动状态。"