Solarmarker再び

以前話題にしたことがあるSolarmarkerというマルウェアですが、更新されて活動が観測されています。
このマルウェアは他の最近のマルウェアと同様に、いくつものモジュールに分割されて構成されています。
このため、更新や差し替えが容易になっていると考えられます。

今回新たに確認されているのは、キーロガー機能を持つモジュールです。
この新たに確認された機能は、バージョンアップして新たに搭載された機能なのか、以前からあるけれどもモジュール化されていたために発見されていなかっただけなのか、それはわかりません。
結果として、現在認識されているモジュールと機能はこういうものがあります。

  • dm
    プライマリコンポーネントです。
    コマンドアンドコントロール(C2)通信およびその他の悪意のあるアクションの被害者ホストのステージャーとして機能します。
    この部分はさらに、dモジュールとmモジュールに分割されて実装されています。
  • Jupyter
    2段目のコンポーネントです。
    FirefoxおよびGoogleChromeブラウザから個人データ、クレデンシャル、フォーム送信値を盗む機能を持っています。
  • Uran
    こちらも2段目のコンポーネントです。
    この部分が今回確認されました。
    ユーザーのキーストロークをキャプチャするキーロガーです。

このマルウェアは、SEO対策を使ってPDFファイルの形式で伝搬していくタイプのものです。
いまも大きな労力をかけ、キャンペーンが展開されています。

あなたが先日入手したそのPDFは、正規の配布者が作成したままの状態のPDFでしょうか。

参考記事(外部リンク):Threat Spotlight: Solarmarker
blog.talosintelligence.com/2021/07/threat-spotlight-solarmarker.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。