새로운 SolarMarker 악성코드, 탐지를 피하기 위해 기술 업데이트해

New SolarMarker Malware Variant Using Updated Techniques to Stay Under the Radar

 

사이버 보안 연구원은 탐지를 피하기 위해 방어 회피 능력을 업데이트하고 새로운 개선 사항이 포함된 SolarMarker 악성코드의 새로운 버전을 공개했습니다.

 

Palo Alto Networks Unit 42의 연구원은 이 달 보고서를 발표해 아래와 같이 밝혔습니다.

 

"최신 버전은 Windows Portable Executable(EXE 파일)에서 Windows 설치 프로그램 패키지 파일(MSI 파일)로 진화했습니다.”

 

"이 캠페인은 아직까지 개발 중이며, 이전 버전과 마찬가지로 실행 파일(EXE)을 다시 사용합니다."

 

Jupyter라고도 알려진 SolarMarker는 주요 감염 벡터로 SEO(검색 엔진 최적화) 조작 전략을 주로 사용합니다. 이는 정보 도용 및 백도어 기능으로 잘 알려져 있으며, 공격자는 웹 브라우저에 저장된 데이터를 훔치고 원격 서버에서 받아온 임의 명령을 실행할 수 있습니다.

 

2022년 2월, SolarMarker의 운영자가 Windows 레지스트리 트릭을 통해 해킹된 시스템에 장기간 지속성을 설정하는 것이 발각되었습니다.

 

 

<이미지 출처: https://unit42.paloaltonetworks.com/solarmarker-malware/>

 

 

Unit 42에서 발견한 진화하는 공격 패턴은 이러한 행동의 연속입니다. 감염 체인은 SEO 기술을 통해 검색 결과 상위에 랭크되도록 하기 위해 키워드로 잔뜩 포함한 사기성 웹사이트에서 250MB의 PDF 리더용 실행 파일을 호스팅합니다.

 

파일 크기가 클 경우 초기 단계 드로퍼가 바이러스 백신 엔진의 자동화 분석을 피할 수 있을 뿐 아니라, 합법적인 프로그램을 다운로드 및 설치하지만 백그라운드에서 SolarMarker 악성코드를 배포하는 PowerShell 설치 프로그램을 실행하도록 설계되었습니다.

 

 

<이미지 출처: https://unit42.paloaltonetworks.com/solarmarker-malware/>

 

 

.NET 기반 페이로드인 SolarMarker 백도어는 내부 정찰 및 시스템 메타데이터를 수집하는 기능을 갖추고 있으며, 이는 모두 암호화된 채널을 통해 원격 서버로 유출됩니다.

 

또한 해당 임플란트는 피해자 시스템에 SolarMarker의 인포 스틸러 모듈을 배포하는 도관 역할을 합니다. 이는 웹 브라우저에서 자동 완성 데이터, 쿠키, 암호, 신용 카드 정보를 유출시킵니다.

 

"이 악성코드는 서명된 파일, 대용량 파일, 합법적인 소프트웨어로 위장, 난독화된 PowerShell 스크립트 등과 같은 기술을 사용해 탐지를 회피하는데 많은 노력을 투자합니다."

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.MSIL.Polazert’로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2022/04/new-solarmarker-malware-variant-using.html

https://unit42.paloaltonetworks.com/solarmarker-malware/ (IOC)