https://thehackernews.com/2022/02/solarmarker-malware-uses-novel.html
情報収集機能とバックドア機能を誇る.NETベースのマルウェアは、2021年に少なくとも3つの異なる攻撃波にリンクされています。
このサイトは、Adobe Acrobat Pro DC、Wondershare PDFelement、Nitro Proなどの一見正当なインストールプログラムを実行しながら、マルウェアを展開するためのPowerShellスクリプトも起動します。
この不正な変更により、マルウェアは、この目的のために特別に作成された100〜300のジャンクファイルの煙幕と呼ばれるものの中に隠された暗号化されたペイロードから読み込まれます。
ただし、これらのSolarMarkerキャンペーンの場合、リンクされたファイルはランダムなジャンクファイルの1つであり、それ自体で実行することはできません。
これは、レジストリからPowerShellコマンドを実行することにより、システムの起動時にマルウェアを実行するために最終的に使用されます。
ProxyLogonの場合、これはWebシェルでしたが、SolarMarkerの場合、これはステルスで永続的なバックドアであり、Sophosによると、テレマティクスはキャンペーン終了後も数か月間アクティブです。
ソーラーマーカーマルウェアは、ハッキングされたシステムで永続化するために新しい技術を使用しています、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント