Зловреден софтуер StripedFly

Експерти по киберсигурност са открили изключително усъвършенстван вид злонамерен софтуер, наречен StripedFly, непознат досега на информационната общност. Този злонамерен софтуер демонстрира глобално въздействие, насочвайки и засягайки повече от един милион жертви поне от 2017 г. насам. Първоначално маскиран като инструмент за добив на криптовалута, беше разкрито, че е сложен и многофункционален зловреден софтуер, включващ многостранна, саморазпространяваща се рамка .

StripedFly може да е заразил над милион системи

Рамката за зловреден софтуер StripedFly излезе наяве след откриването й от изследователи, които идентифицираха присъствието й в процеса WININIT.EXE, легитимен компонент на операционната система Windows, отговорен за инициирането на различни подсистеми.

При задълбочаване в инжектирания код стана ясно, че StripedFly инициира изтеглянето и изпълнението на допълнителни файлове, по-специално PowerShell скриптове, от легитимни хостинг платформи като Bitbucket, GitHub и GitLab. Допълнителен анализ разкри, че злонамереният софтуер вероятно е проникнал в устройства чрез персонализиран експлойт на уязвимостта EternalBlue SMBv1, насочен предимно към компютри, изложени на интернет.

Окончателният полезен товар на StripedFly, наречен „system.img“, включва собствен олекотен мрежов клиент TOR за защита на мрежовите комуникации от прихващане. Той също така притежава способността да деактивира протокола SMBv1 и да се разпространява към други Windows и Linux устройства в мрежата, използвайки SSH и EternalBlue. Сървърът за командване и контрол (C2, C&C) за StripedFly работи в мрежата TOR, поддържайки комуникация чрез чести съобщения за маяк, съдържащи уникален идентификатор на жертвата.

За да установи устойчивост на Windows системи, StripedFly адаптира подхода си въз основа на нивото на привилегия и наличието на PowerShell. При липса на PowerShell той генерира скрит файл в директорията %APPDATA%. Когато PowerShell е наличен, зловредният софтуер изпълнява скриптове за създаване на планирани задачи или промяна на ключовете в системния регистър на Windows.

В Linux StripedFly приема псевдонима „sd-pam“. Устойчивостта на тази платформа се постига чрез systemd услуги, автоматично стартиращи .desktop файлове или чрез модифициране на различни профилни и стартиращи файлове, включително /etc/rc*, profile, bashrc или inittab файлове.

Данните от хранилището на Bitbucket, отговорно за доставянето на полезен товар на последния етап до Windows системи, предполагат, че между април 2023 г. и септември 2023 г. близо 60 000 системи са били заразени от StripedFly. Изследователите обаче изчисляват, че общият брой на устройствата, засегнати от рамката StripedFly, може да надхвърли един милион.

Многобройни специализирани модули, открити в зловреден софтуер StripedFly

Злонамереният софтуер е проектиран като единичен, самостоятелен двоичен изпълним файл с адаптивни модули, осигурявайки му оперативна гъвкавост, обикновено свързана с операциите на Advanced Persistent Threat (APT):

• • Съхранение на конфигурация: Този модул съхранява сигурно криптираната конфигурация на зловреден софтуер.

• • Надграждане/Деинсталиране: Отговаря за управлението на актуализации или премахване въз основа на команди, получени от сървъра за командване и управление (C2).

• • Обратно прокси: Позволява отдалечени действия в мрежата на жертвата.

• • Разнообразен манипулатор на команди: Изпълнява различни команди, включително заснемане на екранни снимки и стартиране на shellcode.

• • Credential Harvester: Сканира и извлича чувствителни потребителски данни като пароли и потребителски имена.

• • Повтарящи се задачи: Изпълнява специфични задачи при предварително зададени условия, като например запис на аудио от микрофона.

• • Recon Module: Изпраща изчерпателна системна информация към C2 сървъра.

• • SSH Infector: Използва събраните SSH идентификационни данни за проникване в други системи.

• • SMBv1 Infector: Разпространява се в други Windows системи чрез използване на персонализирана уязвимост на EternalBlue.

• • Модул за копаене Monero: Копае криптовалута Monero, маскирайки се като процес „chrome.exe“.

Включването на модула за копаене на криптовалута Monero се разглежда като опит за отклоняване на вниманието, тъй като основните цели на участниците в заплахата се въртят около кражбата на данни и експлоатацията на системата, улеснена от другите модули.