Malware StripedFly

Odborníci na kybernetickou bezpečnost objevili výjimečně pokročilý druh malwaru nazvaný StripedFly, který komunita infosec dříve neznal. Tento malware prokázal globální dopad, zaměřuje se a postihuje více než jeden milion obětí minimálně od roku 2017. Původně byl maskován jako nástroj pro těžbu kryptoměn, ale bylo odhaleno, že jde o komplexní a všestranný malware s mnohostranným, samo se šířícím rámcem. .

StripedFly může infikovat více než milion systémů

Malwarový rámec StripedFly vyšel na světlo po jeho odhalení výzkumníky, kteří identifikovali jeho přítomnost v procesu WININIT.EXE, legitimní součásti operačního systému Windows zodpovědné za spouštění různých subsystémů.

Po ponoření se do vloženého kódu bylo zřejmé, že StripedFly iniciuje stahování a spouštění dalších souborů, zejména skriptů PowerShell, z legitimních hostingových platforem, jako jsou Bitbucket, GitHub a GitLab. Další analýza odhalila, že malware pravděpodobně infiltroval zařízení prostřednictvím přizpůsobeného zneužití zranitelnosti EternalBlue SMBv1, primárně zaměřeného na počítače vystavené internetu.

Finální užitečné zatížení StripedFly s názvem 'system.img' obsahuje proprietárního odlehčeného síťového klienta TOR, který chrání síťovou komunikaci před zachycením. Má také schopnost deaktivovat protokol SMBv1 a šířit se do dalších zařízení se systémem Windows a Linux v síti pomocí SSH a EternalBlue. Server Command-and-Control (C2, C&C) pro StripedFly funguje v rámci sítě TOR a udržuje komunikaci prostřednictvím častých majákových zpráv obsahujících jedinečné ID oběti.

Pro zajištění stálosti na systémech Windows přizpůsobí StripedFly svůj přístup na základě úrovně oprávnění a přítomnosti PowerShellu. V nepřítomnosti PowerShellu vygeneruje skrytý soubor v adresáři %APPDATA%. Když je PowerShell k dispozici, malware spouští skripty k vytváření naplánovaných úloh nebo ke změně klíčů registru Windows.

V Linuxu StripedFly používá přezdívku 'sd-pam'. Přetrvávání na této platformě je dosaženo prostřednictvím služeb systemd, automatického spouštění souborů .desktop nebo úpravou různých profilových a spouštěcích souborů, včetně souborů /etc/rc*, profile, bashrc nebo inittab.

Údaje z úložiště Bitbucket, které je zodpovědné za dodání poslední fáze užitečného zatížení do systémů Windows, naznačují, že mezi dubnem 2023 a zářím 2023 bylo StripedFly infikováno téměř 60 000 systémů. Vědci však odhadují, že celkový počet zařízení ovlivněných frameworkem StripedFly může přesáhnout jeden milion.

V malwaru StripedFly bylo nalezeno mnoho specializovaných modulů

Malware je navržen jako jeden samostatný binární spustitelný soubor s adaptabilními moduly, které mu poskytují provozní flexibilitu obvykle spojenou s operacemi Advanced Persistent Threat (APT):

• • Úložiště konfigurace: Tento modul bezpečně ukládá konfiguraci šifrovaného malwaru.

• • Upgrade/Uninstall: Zodpovědnost za správu aktualizací nebo odstranění na základě příkazů přijatých ze serveru Command-and-Control (C2).

• • Reverse Proxy: Umožňuje vzdálené akce v rámci sítě oběti.

• • Miscellaneous Command Handler: Provádí různé příkazy, včetně pořizování snímků obrazovky a spouštění shell kódu.

• • Credential Harvester: Skenuje a získává citlivá uživatelská data, jako jsou hesla a uživatelská jména.

• • Opakovatelné úlohy: Provádí specifické úkoly za předem definovaných podmínek, jako je nahrávání zvuku z mikrofonu.

• • Recon Module: Odesílá komplexní systémové informace na server C2.

• • SSH Infector: Využívá sklizené přihlašovací údaje SSH k infiltraci do jiných systémů.

• • SMBv1 Infector: Šíří se do dalších systémů Windows využitím vlastní chyby zabezpečení EternalBlue.

• • Modul těžby Monero: Těží kryptoměnu Monero, maskující se jako proces „chrome.exe“.

Zařazení modulu těžař kryptoměn Monero je vnímáno jako pokus o odvrácení pozornosti, protože primární cíle aktérů hrozeb se točí kolem krádeže dat a zneužití systému, které umožňují ostatní moduly.