Les stratagèmes élaborés du malware SolarMarker
Les acteurs malveillants à l’origine du malware d’exfiltration de données SolarMarker ont mis en place une infrastructure multi-niveaux complexe afin de rendre difficile son démantèlement par les forces de l’ordre, selon de récentes conclusions de Recorded Future.
« Le cœur des activités de SolarMarker réside dans son infrastructure en couches, composée d’au moins deux grappes : une principale pour les opérations en cours et une secondaire probablement utilisée pour tester de nouvelles stratégies ou cibler des régions ou industries spécifiques, » a révélé la société dans un rapport publié la semaine dernière.
Cette séparation renforce la capacité du malware à s’adapter et à répondre aux contre-mesures, rendant son éradication particulièrement ardue.
Évolution et Techniques Utilisées
SolarMarker, également connu sous les noms Deimos, Jupyter Infostealer, Polazert et Yellow Cockatoo, est une menace sophistiquée en constante évolution depuis son apparition en septembre 2020.
Il peut voler des données de nombreux navigateurs web et portefeuilles de cryptomonnaies, ainsi que cibler les configurations VPN et RDP.
Les secteurs les plus ciblés sont l’éducation, le gouvernement, la santé, l’hôtellerie et les petites et moyennes entreprises, selon les données collectées depuis septembre 2023.
Les victimes se trouvent majoritairement aux États-Unis, incluant des universités de renom, des départements gouvernementaux, des chaînes hôtelières mondiales et des fournisseurs de soins de santé.
Les auteurs du malware travaillent à le rendre plus furtif grâce à l’augmentation de la taille des charges utiles, à l’utilisation de certificats Authenticode valides, à des changements innovants dans le Registre Windows et à la capacité de le faire fonctionner directement depuis la mémoire plutôt que le disque.
Les voies d’infection impliquent généralement l’hébergement de SolarMarker sur des sites de téléchargement factices faisant la promotion de logiciels populaires.
Ces sites peuvent être visités par une victime par inadvertance ou à cause d’un empoisonnement des résultats SEO, ou via un lien dans un courriel malveillant.
Les premiers droppers prennent la forme de fichiers exécutables (EXE) et de fichiers d’installation Microsoft (MSI) qui, lorsqu’ils sont exécutés, déploient une porte dérobée basée sur .NET responsable du téléchargement de charges utiles supplémentaires facilitant le vol d’informations.
Des séquences alternatives exploitent des installateurs contrefaits pour déposer une application légitime (ou un fichier leurre) tout en lançant simultanément un chargeur PowerShell pour livrer et exécuter la porte dérobée SolarMarker en mémoire.
Les attaques de SolarMarker de l’année dernière ont également impliqué la livraison d’une porte dérobée hVNC basée sur Delphi appelée SolarPhantom, permettant de contrôler à distance une machine victime sans que celle-ci en ait conscience.
En février 2024, la société de cybersécurité eSentire a noté que l’acteur malveillant derrière SolarMarker a alterné entre les outils Inno Setup et PS2EXE pour générer des charges utiles.
Aussi récemment qu’il y a deux mois, une nouvelle version PyInstaller du malware a été repérée dans la nature, propagée à l’aide d’un manuel de lave-vaisselle comme leurre, selon un chercheur en malware connu sous le nom de Squiblydoo qui a documenté SolarMarker pendant des années.
Il existe des éléments suggérant que SolarMarker est le travail d’un seul acteur d’origine inconnue, bien que des recherches antérieures de Morphisec aient laissé penser à une possible connexion russe.
Une Architecture Complexe et Hiérarchisée
Recorded Future, dans son enquête sur les configurations des serveurs liés aux serveurs de commande et de contrôle (C2), a découvert une architecture multi-niveaux faisant partie de deux larges grappes, dont l’une est probablement utilisée pour des tests ou pour cibler des régions ou industries spécifiques.
L’infrastructure en couches comprend un ensemble de serveurs C2 de niveau 1 en contact direct avec les machines victimes.
Ces serveurs se connectent à un serveur C2 de niveau 2 via le port 443.
Les serveurs C2 de niveau 2 communiquent également avec des serveurs C2 de niveau 3 via le port 443, et les serveurs C2 de niveau 3 se connectent régulièrement aux serveurs C2 de niveau 4 via le même port.
« Le serveur de niveau 4 est considéré comme le serveur central de l’opération, vraisemblablement utilisé pour administrer efficacement tous les serveurs en aval sur le long terme, » a déclaré la société de cybersécurité, ajoutant qu’elle a également observé le serveur C2 de niveau 4 communiquer avec un autre « serveur auxiliaire » via le port 8033.
Bien que la fonction exacte de ce serveur reste inconnue, il est spéculé qu’il soit utilisé pour la surveillance, potentiellement servant de serveur de vérification de l’état ou de sauvegarde.
Les Risques Imminents pour les Entreprises et les Individus
Le malware SolarMarker représente un risque majeur pour les entreprises comme pour les particuliers du fait de sa capacité à exfiltrer des données sensibles à partir de navigateurs web, de portefeuilles de cryptomonnaies et de configurations VPN et RDP.
Les impacts peuvent être dévastateurs : vol d’identité, compromission de comptes financiers, et accès non autorisé à des réseaux d’entreprise.
Les secteurs tels que l’éducation, le gouvernement et la santé sont particulièrement vulnérables.
Le malware n’est pas seulement furtif, mais il exploite aussi des installations légitimes pour se camoufler, rendant sa détection et son éradication très difficiles.
Mesures de Protection Recommandées
Pour se protéger contre SolarMarker, il est impératif de renforcer les politiques de sécurité informatique :
Mise à jour régulière des logiciels et des systèmes d’exploitation, utilisation de pare-feu robustes et de logiciels antivirus performants, et surveillance constante des activités réseau suspectes.
L’éducation et la formation des employés sur les bonnes pratiques de cybersécurité peuvent également réduire les risques de compromission par des vecteurs d’attaque tels que les sites de téléchargement factices et le phishing.
Enfin, l’adoption d’une gestion rigoureuse des accès et l’implémentation de l’authentification multifactorielle peuvent limiter les dégâts en cas d’infection.
