一种叫SolarMarker的恶意软件使用SEO病毒使目标感染远程访问木马 – 作者:安芯网盾

安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、一种叫SolarMarker的恶意软件使用SEO病毒来使目标感染远程访问木马（6月16日）

研究人员观察到一系列使用SEO病毒来使目标感染远程访问木马 (RAT) 的攻击。该恶意软件被称为SolarMarker，能够通过后门系统窃取敏感信息。它是一种在内存中运行的.NET RAT并且可以在感染木马的设备上投放其他payloads。

详细信息

据微软称，SolarMarker是一种在被感染的系统中建立后门，并窃取Web浏览器凭据的恶意软件。被窃取的数据随后会被泄露到C2服务器。感染后，SolarMarker通过将自身添加到Startup文件夹并更改受害者桌面上的快捷方式来获得持久性。

攻击者使用数以千计的包含SEO关键字和链接的PDF文档来制作陷阱，为了让受害者更容易上钩，攻击者在这些文档中填充了10多页关于多个主题的关键字，从“保险”、“如何加入SQL”、“数学答案”到“接受合同”。一旦受害者发现其中一个恶意制作的PDF并点击它，他们就会被重新定向到恶意软件并感染RAT。

研究人员尚不清楚SolarMarker攻击者背后真正的目的，但根据俄语到英语的拼写错误，研究人员怀疑SolarMarker的开发者和俄罗斯黑客有关。

参考链接：https://cyware.com/news/solarmarker-the-rat-with-a-poisonous-trail-c2a33810

二、Codecove引入了一个新的上传工具来替换和删除引发了最近供应链攻击的Bash脚本（6月14日）

这家位于旧金山的DevOps工具提供商在一篇博客中表示，新的上传工具将作为适用于Windows、Linux、Alpine Linux和macOS的静态二进制可执行文件（static binary executable）提供。

详细信息

上传器的使用方式与现有的Bash上传器相同，用于在开发周期中向产品推送覆盖数据和更新。上传器目前处于Beta阶段，因此尚未完全集成。但Codecov表示“目前使用Bash上传器完成的大多数标准工作流程都可以使用新上传器完成。”

Codecov的Bash上传器是2021年1月31日左右发生的一系列供应链攻击的源头，并于4月15日公开。黑客通过渗透Codecov的网络并劫持Bash上传器，导致用户们不会像Codecov所希望的那样在项目更新期间推送“更健康”的代码，相反，他们在持续集成(CI)环境中存储的信息会被窃取。

参考链接：https://www.zdnet.com/article/codecov-debuts-new-uploader-dismisses-bash-script-as-source-of-supply-chain-attack-risk/?&web_view=true

来源：freebuf.com 2021-06-30 11:10:57 by: 安芯网盾