البرامج الضارة StripedFly

اكتشف خبراء الأمن السيبراني سلالة متقدمة بشكل استثنائي من البرامج الضارة تسمى StripedFly، والتي لم تكن معروفة من قبل لمجتمع أمن المعلومات. لقد أظهرت هذه البرامج الضارة تأثيرًا عالميًا، حيث استهدفت وأثرت على أكثر من مليون ضحية منذ عام 2017 على الأقل. وقد تم الكشف عن أنها في البداية متخفية كأداة لتعدين العملات المشفرة، ولكنها تبين أنها برامج ضارة معقدة ومتعددة الاستخدامات تتميز بإطار عمل متعدد الأوجه وذاتي الانتشار. .

قد يكون StripedFly قد أصاب أكثر من مليون نظام

تم الكشف عن إطار عمل البرامج الضارة StripedFly بعد اكتشافه من قبل الباحثين، الذين حددوا وجوده في عملية WININIT.EXE، وهو مكون شرعي لنظام التشغيل Windows مسؤول عن بدء تشغيل أنظمة فرعية مختلفة.

عند التعمق في التعليمات البرمجية المحقونة، أصبح من الواضح أن StripedFly يبدأ تنزيل وتنفيذ ملفات إضافية، ولا سيما نصوص PowerShell النصية، من منصات الاستضافة الشرعية مثل Bitbucket وGitHub وGitLab. وكشف المزيد من التحليل أن البرامج الضارة من المحتمل أن تتسلل إلى الأجهزة من خلال استغلال مخصص لثغرة EternalBlue SMBv1، والتي تستهدف في المقام الأول أجهزة الكمبيوتر المعرضة للإنترنت.

تتضمن حمولة StripedFly النهائية، المسماة "system.img"، عميل شبكة TOR خفيف الوزن خاصًا لحماية اتصالات الشبكة من الاعتراض. كما أنه يمتلك القدرة على إلغاء تنشيط بروتوكول SMBv1 ونشر نفسه على أجهزة Windows وLinux الأخرى على الشبكة باستخدام SSH وEternalBlue. يعمل خادم القيادة والتحكم (C2، C&C) الخاص بـ StripedFly ضمن شبكة TOR، ويحافظ على الاتصال من خلال رسائل إشارات متكررة تحتوي على معرف فريد للضحية.

لتحقيق الثبات على أنظمة Windows، يقوم StripedFly بتكييف أسلوبه بناءً على مستوى الامتياز ووجود PowerShell. في غياب PowerShell، يقوم بإنشاء ملف مخفي في دليل %APPDATA%. عند توفر PowerShell، تقوم البرامج الضارة بتنفيذ البرامج النصية لإنشاء مهام مجدولة أو تغيير مفاتيح تسجيل Windows.

في نظام Linux، يستخدم StripedFly اللقب "sd-pam". يتم تحقيق الاستمرار على هذا النظام الأساسي من خلال خدمات systemd، أو التشغيل التلقائي لملفات .desktop، أو عن طريق تعديل العديد من ملفات التعريف وملفات بدء التشغيل، بما في ذلك /etc/rc*، أو ملف التعريف، أو bashrc، أو ملفات inittab.

تشير البيانات من مستودع Bitbucket المسؤول عن تسليم حمولة المرحلة النهائية إلى أنظمة Windows إلى أنه في الفترة ما بين أبريل 2023 وسبتمبر 2023، أصيب ما يقرب من 60 ألف نظام بفيروس StripedFly. ومع ذلك، يقدر الباحثون أن العدد الإجمالي للأجهزة المتأثرة بإطار StripedFly قد يتجاوز المليون.

تم العثور على العديد من الوحدات المتخصصة في البرنامج الضار StripedFly

تم تصميم البرمجيات الخبيثة كبرنامج ثنائي مستقل قابل للتنفيذ مع وحدات قابلة للتكيف، مما يوفر لها مرونة تشغيلية ترتبط عادةً بعمليات التهديد المستمر المتقدم (APT):

• تخزين التكوين: تقوم هذه الوحدة بتخزين تكوين البرامج الضارة المشفرة بشكل آمن.
• الترقية/إلغاء التثبيت: مسؤول عن إدارة التحديثات أو الإزالة بناءً على الأوامر المستلمة من خادم الأوامر والتحكم (C2).
• الوكيل العكسي: لتمكين الإجراءات عن بعد داخل شبكة الضحية.
• معالج الأوامر المتنوعة: ينفذ أوامر مختلفة، بما في ذلك التقاط لقطات الشاشة وتشغيل كود القشرة.
• أداة حصاد بيانات الاعتماد: تقوم بمسح واسترداد بيانات المستخدم الحساسة مثل كلمات المرور وأسماء المستخدمين.
• المهام المتكررة: تنفيذ مهام محددة في ظل ظروف محددة مسبقًا، مثل تسجيل الصوت من الميكروفون.
• وحدة Recon: ترسل معلومات النظام الشاملة إلى خادم C2.
• SSH Infector: يستخدم بيانات اعتماد SSH المحصودة للتسلل إلى الأنظمة الأخرى.
• SMBv1 Infector: ينتشر إلى أنظمة Windows الأخرى عن طريق استغلال ثغرة EternalBlue المخصصة.
• وحدة تعدين Monero: تعدين عملة Monero المشفرة، وتتنكر في صورة عملية "chrome.exe".

يُنظر إلى تضمين وحدة تعدين العملات المشفرة Monero على أنه محاولة لصرف الانتباه، حيث تدور الأهداف الأساسية للجهات الفاعلة في مجال التهديد حول سرقة البيانات واستغلال النظام، وهو ما تسهله الوحدات الأخرى.