SolarMarker RAT

SolarMarkerは、Microsoft .NET Frameworkで記述されたリモートアクセストロイの木馬（RAT）です。同じことが、Jupyter、Yellow Cockatoo、Polazertなどのさまざまな異なる名前で追跡されています。 SolarMarkerの主な目的とコア機能は、特定の脅威アクターが感染したシステムに最終段階のマルウェアペイロードを配信することにより、攻撃をエスカレートできるバックドアとして機能することです。 SolarMarkerは、その汎用性により、さまざまなハッカーグループが特定のニーズに応じてペイロードを展開できるため、いくつかの脅威的な操作で使用されてきました。

SolarMarkerは、侵害された企業からオンラインバンキングのクレデンシャルを乗っ取ることができる次の段階のバンキング型トロイの木馬、またはユーザーのアカウントと電子メールのクレデンシャルを収集できる情報スティーラーをフェッチして実行できます。このような個人情報は、サイバー犯罪者がネットワーク内を横方向に移動したり、マルウェア感染を追加のシステムに拡散したり、企業の個人データにさらに深くアクセスしたりするために使用できます。ランサムウェアを企業レベルで展開することも、ハッカーサークルの間で目立った上昇を見せています。これは、侵害されたエンティティの操作全体を効果的にロックダウンし、多額の支払いを要求できるためです。

何千ものGoogleがホストするウェブサイトがSolarMarkerRATを広める

SolarMarker RATを含む最新の攻撃キャンペーンは、かなりのレベルの洗練度を示しています。作戦の背後にいる脅威アクターは、Googleがホストする10万の専用の脅威ドメインを設定しました。 SolarMarkerを広めるページでは、領収書、請求書、履歴書、アンケートなど、さまざまなフォームやテンプレートなど、人気のあるビジネス用語やキーワードを使用しています。サイバー犯罪者は、SEO（検索エンジン最適化）戦略の一環としてこのような一般的な用語を組み合わせて使用することで、Google独自のWebクローラーボットを利用して、破損したWebサイトを上位にランク付けし、ユーザーに表示される上位の結果に配置できます。

疑いを持たないユーザーは、必要なドキュメントフォームまたはテンプレートを開いていると思います。ただし、代わりに、SolarMarkerRATのインストールチェーンを開始するバイナリを実行します。その存在をさらに隠すために、バックドアの脅威には、docx2rtf.exe、Expert_PDF.exe、photodesigner7_x86-64.exeなどのさまざまなおとりアプリケーションがあります。脅威によって使用されることが観察された最新のものの1つは、スリムPDFリーダーと呼ばれます。