StripedFly Malware

Cybersikkerhedseksperter har opdaget en usædvanlig avanceret stamme af malware kaldet StripedFly, som tidligere var ukendt for infosec-samfundet. Denne malware har vist en global indvirkning, rettet mod og påvirket mere end en million ofre siden mindst 2017. Oprindeligt forklædt som et cryptocurrency-mineværktøj, er det blevet afsløret at være en kompleks og alsidig malware med en mangefacetteret, selvudbredende ramme. .

StripedFly kan have inficeret over en million systemer

StripedFly-malwarerammerne kom frem efter dets opdagelse af forskere, som identificerede dens tilstedeværelse i WININIT.EXE-processen, en legitim komponent af Windows OS, der er ansvarlig for at starte forskellige undersystemer.

Efter at have dykket ned i den indsprøjtede kode, blev det tydeligt, at StripedFly initierer download og eksekvering af yderligere filer, især PowerShell-scripts, fra legitime hostingplatforme som Bitbucket, GitHub og GitLab. Yderligere analyse afslørede, at malwaren sandsynligvis infiltrerede enheder gennem en tilpasset udnyttelse af EternalBlue SMBv1-sårbarheden, primært rettet mod internet-eksponerede computere.

Den endelige StripedFly-nyttelast, kaldet 'system.img', inkluderer en proprietær letvægts TOR-netværksklient for at beskytte dens netværkskommunikation mod aflytning. Den har også evnen til at deaktivere SMBv1-protokollen og udbrede sig til andre Windows- og Linux-enheder på netværket ved hjælp af SSH og EternalBlue. Command-and-Control-serveren (C2, C&C) til StripedFly fungerer inden for TOR-netværket og opretholder kommunikationen gennem hyppige beacon-meddelelser, der indeholder et unikt offer-id.

For at etablere persistens på Windows-systemer tilpasser StripedFly sin tilgang baseret på privilegieniveauet og tilstedeværelsen af PowerShell. I mangel af PowerShell genererer den en skjult fil i %APPDATA%-mappen. Når PowerShell er tilgængelig, udfører malwaren scripts for at oprette planlagte opgaver eller ændre Windows registreringsdatabasenøgler.

På Linux anvender StripedFly monikeren 'sd-pam'. Vedholdenhed på denne platform opnås gennem systemd-tjenester, autostart af .desktop-filer eller ved at ændre forskellige profil- og opstartsfiler, inklusive /etc/rc*, profile, bashrc eller inittab-filer.

Data fra Bitbucket-depotet, der er ansvarligt for at levere den sidste trins nyttelast til Windows-systemer, tyder på, at mellem april 2023 og september 2023 blev næsten 60.000 systemer inficeret af StripedFly. Forskere vurderer dog, at det samlede antal enheder, der påvirkes af StripedFly-rammeværket, kan overstige en million.

Adskillige specialiserede moduler fundet i StripedFly Malware

Malwaren er designet som en enkelt, selvstændig binær eksekverbar fil med tilpasningsdygtige moduler, der giver den operationel fleksibilitet, typisk forbundet med Advanced Persistent Threat (APT) operationer:

• Konfigurationslager: Dette modul gemmer sikkert den krypterede malware-konfiguration.
• Opgradering/Afinstallation: Ansvarlig for styring af opdateringer eller fjernelse baseret på kommandoer modtaget fra Command-and-Control-serveren (C2).
• Omvendt proxy: Muliggør fjernhandlinger inden for offerets netværk.
• Diverse kommandohåndtering: Udfører forskellige kommandoer, herunder optagelse af skærmbilleder og kørsel af shellcode.
• Credential Harvester: Scanner og henter følsomme brugerdata som adgangskoder og brugernavne.
• Gentagelige opgaver: Udfører specifikke opgaver under foruddefinerede forhold, såsom optagelse af lyd fra mikrofonen.
• Recon Module: Sender omfattende systeminformation til C2-serveren.
• SSH Infector: Bruger høstede SSH-legitimationsoplysninger til at infiltrere andre systemer.
• SMBv1 Infector: Forplanter sig til andre Windows-systemer ved at udnytte en tilpasset EternalBlue-sårbarhed.
• Monero-minemodul: Miner Monero-cryptocurrency, der forklæder sig som en "chrome.exe"-proces.

Inkluderingen af Monero cryptocurrency miner-modulet ses som et forsøg på at aflede opmærksomheden, da de primære mål for trusselsaktørerne drejer sig om datatyveri og systemudnyttelse, lettet af de andre moduler.