StripedFly pahavara

Küberturvalisuse eksperdid on avastanud erakordselt arenenud pahavara tüve nimega StripedFly, mida infoseci kogukond varem ei tundnud. See pahavara on näidanud ülemaailmset mõju, sihikule ja mõjutamisele enam kui miljonile ohvrile alates vähemalt 2017. aastast. Algselt maskeeritud krüptoraha kaevandamise tööriistaks, on selgunud, et tegemist on keeruka ja mitmekülgse pahavaraga, millel on mitmetahuline, ise leviv raamistik. .

StripedFly võib olla nakatanud üle miljoni süsteemi

StripedFly pahavara raamistik tuli päevavalgele pärast selle avastamist teadlaste poolt, kes tuvastasid selle esinemise protsessis WININIT.EXE, mis on Windowsi OS-i seaduslik komponent, mis vastutab erinevate alamsüsteemide käivitamise eest.

Sisestatud koodisse süvenedes sai selgeks, et StripedFly algatab täiendavate failide, eriti PowerShelli skriptide allalaadimise ja täitmise seaduslikelt hostimisplatvormidelt, nagu Bitbucket, GitHub ja GitLab. Täiendav analüüs näitas, et pahavara tungis tõenäoliselt seadmetesse EternalBlue SMBv1 haavatavuse kohandatud ärakasutamise kaudu, sihtides peamiselt Interneti-ühendusega arvuteid.

Viimane StripedFly kasulik koormus nimega "system.img" sisaldab patenteeritud kerget TOR-võrgu klienti, et kaitsta oma võrgusuhtlust pealtkuulamise eest. Sellel on ka võimalus desaktiveerida SMBv1 protokoll ja levitada end teistele võrgus olevatele Windowsi ja Linuxi seadmetele SSH ja EternalBlue abil. StripedFly käsu- ja juhtimisserver (C2, C&C) töötab TOR-võrgus, hoides sidet kordumatut ohvri ID-d sisaldavate sagedaste majakateadete kaudu.

Windowsi süsteemides püsivuse tagamiseks kohandab StripedFly oma lähenemisviisi privileegide taseme ja PowerShelli olemasolu alusel. PowerShelli puudumisel genereerib see kataloogis %APPDATA% peidetud faili. Kui PowerShell on saadaval, käivitab pahavara ajastatud toimingute loomiseks või Windowsi registrivõtmete muutmiseks skripte.

Linuxis kasutab StripedFly nimetust "sd-pam". Püsivus sellel platvormil saavutatakse süsteemsete teenuste, .desktop-failide automaatse käivitamise või erinevate profiili- ja käivitusfailide, sealhulgas /etc/rc*, profiili-, bashrc- või inittab-failide muutmise kaudu.

Andmed Bitbucketi hoidlast, mis vastutab viimase etapi kasuliku koormuse Windowsi süsteemidesse edastamise eest, viitab sellele, et 2023. aasta aprillist kuni 2023. aasta septembrini oli StripedFly poolt nakatunud ligi 60 000 süsteemi. Teadlaste hinnangul võib StripedFly raamistikust mõjutatud seadmete koguarv aga ületada miljoni piiri.

StripedFly pahavarast leiti arvukalt spetsiaalseid mooduleid

Pahavara on loodud ühe iseseisva, kohandatavate moodulitega kahendkäivitusfailina, pakkudes sellele operatiivset paindlikkust, mis on tavaliselt seotud täiustatud püsiva ohu (APT) toimingutega:

• • Konfiguratsiooni salvestusruum: see moodul talletab turvaliselt krüptitud pahavara konfiguratsiooni.

• • Uuendamine/desinstallimine: vastutab värskenduste haldamise või eemaldamise eest Command-and-Control (C2) serverist saadud käskude alusel.

• • Reverse Proxy: lubab kaugtoiminguid ohvri võrgus.

• • Mitmesugune käsukäsitleja: täidab erinevaid käske, sealhulgas ekraanipiltide jäädvustamine ja shellkoodi käivitamine.

• • Mandaadikoguja: skannib ja hangib tundlikke kasutajaandmeid, nagu paroolid ja kasutajanimed.

• • Korratavad ülesanded: täidab konkreetseid ülesandeid eelnevalt määratletud tingimustel, näiteks salvestab heli mikrofonist.

• • Recon Module: saadab C2 serverisse põhjaliku süsteemiteabe.

• • SSH Infector: kasutab kogutud SSH-mandaate teistesse süsteemidesse imbumiseks.

• • SMBv1 Infector: levib muudesse Windowsi süsteemidesse, kasutades ära kohandatud EternalBlue'i haavatavust.

• • Monero kaevandamismoodul: kaevandab Monero krüptovaluutat, maskeerides end protsessiks "chrome.exe".

Monero krüptoraha kaevandaja mooduli kaasamist vaadeldakse kui katset tähelepanu kõrvale juhtida, kuna ohus osalejate peamised eesmärgid on seotud andmete varguse ja süsteemi ekspluateerimisega, mida hõlbustavad teised moodulid.