بدافزار StripedFly

کارشناسان امنیت سایبری یک نوع فوق‌العاده پیشرفته از بدافزار به نام StripedFly را کشف کرده‌اند که قبلاً برای جامعه infosec ناشناخته بود. این بدافزار تاثیری جهانی از خود نشان داده است و بیش از یک میلیون قربانی را از حداقل سال 2017 مورد هدف قرار داده و تحت تاثیر قرار داده است. در ابتدا به عنوان یک ابزار استخراج ارز دیجیتال پنهان شده بود، مشخص شد که یک بدافزار پیچیده و همه کاره است که دارای چارچوبی چندوجهی و خود انتشاری است. .

StripedFly ممکن است بیش از یک میلیون سیستم را آلوده کرده باشد

چارچوب بدافزار StripedFly پس از شناسایی توسط محققان، که حضور آن را در فرآیند WININIT.EXE، یک جزء قانونی از سیستم عامل ویندوز که مسئول راه‌اندازی زیرسیستم‌های مختلف است، شناسایی کردند، آشکار شد.

پس از بررسی کد تزریق شده، مشخص شد که StripedFly دانلود و اجرای فایل های اضافی، به ویژه اسکریپت های PowerShell را از پلتفرم های میزبانی قانونی مانند Bitbucket، GitHub و GitLab آغاز می کند. تجزیه و تحلیل بیشتر نشان داد که بدافزار احتمالاً از طریق یک سوء استفاده سفارشی شده از آسیب‌پذیری EternalBlue SMBv1 به دستگاه‌ها نفوذ کرده است، که عمدتاً رایانه‌های در معرض اینترنت را هدف قرار می‌دهد.

آخرین بار StripedFly با نام 'system.img' شامل یک کلاینت شبکه TOR سبک وزن است تا از ارتباطات شبکه خود در برابر رهگیری محافظت کند. همچنین دارای قابلیت غیرفعال کردن پروتکل SMBv1 و انتشار خود به سایر دستگاه های ویندوز و لینوکس در شبکه با استفاده از SSH و EternalBlue است. سرور Command-and-Control (C2, C&C) برای StripedFly در شبکه TOR عمل می کند و ارتباط را از طریق پیام های بیکن مکرر حاوی شناسه قربانی منحصر به فرد حفظ می کند.

برای ایجاد پایداری در سیستم‌های ویندوز، StripedFly رویکرد خود را بر اساس سطح امتیاز و حضور PowerShell تطبیق می‌دهد. در غیاب PowerShell، یک فایل مخفی در دایرکتوری %APPDATA% ایجاد می کند. هنگامی که PowerShell در دسترس است، بدافزار اسکریپت هایی را برای ایجاد وظایف برنامه ریزی شده یا تغییر کلیدهای رجیستری ویندوز اجرا می کند.

در لینوکس، StripedFly از نام "sd-pam" استفاده می کند. ماندگاری در این پلتفرم از طریق سرویس‌های systemd، راه‌اندازی خودکار فایل‌های دسکتاپ، یا با اصلاح فایل‌های نمایه و راه‌اندازی مختلف، از جمله /etc/rc*، پروفایل، bashrc یا فایل‌های inittab به دست می‌آید.

داده‌های مخزن Bitbucket که مسئول تحویل بار نهایی مرحله به سیستم‌های ویندوز است، نشان می‌دهد که بین آوریل 2023 تا سپتامبر 2023، نزدیک به 60000 سیستم توسط StripedFly آلوده شده‌اند. با این حال، محققان تخمین می زنند که تعداد کل دستگاه هایی که تحت تأثیر چارچوب StripedFly قرار گرفته اند ممکن است از یک میلیون فراتر رود.

ماژول های تخصصی متعددی در بدافزار StripedFly یافت شدند

این بدافزار به‌عنوان یک فایل اجرایی باینری منفرد و مستقل با ماژول‌های قابل تطبیق طراحی شده است که به آن انعطاف‌پذیری عملیاتی معمولاً با عملیات‌های تهدید دائمی پیشرفته (APT) ارائه می‌دهد:

• ذخیره سازی پیکربندی: این ماژول به صورت ایمن پیکربندی بدافزار رمزگذاری شده را ذخیره می کند.
• ارتقا/حذف نصب: مسئول مدیریت به روز رسانی یا حذف بر اساس دستورات دریافتی از سرور Command-and-Control (C2) است.
• Reverse Proxy: اقدامات از راه دور را در شبکه قربانی فعال می کند.
• Miscellaneous Command Handler: دستورات مختلفی از جمله گرفتن اسکرین شات و اجرای shellcode را اجرا می کند.
• Credential Harvester: داده های حساس کاربر مانند رمز عبور و نام کاربری را اسکن و بازیابی می کند.
• Repeatable Tasks: وظایف خاصی را تحت شرایط از پیش تعریف شده انجام می دهد، مانند ضبط صدا از میکروفون.
• Recon Module: اطلاعات جامع سیستم را به سرور C2 ارسال می کند.
• SSH Infector: از اعتبارنامه های SSH استخراج شده برای نفوذ به سیستم های دیگر استفاده می کند.
• SMBv1 Infector: با بهره برداری از آسیب پذیری سفارشی EternalBlue به سایر سیستم های ویندوز منتشر می شود.
• ماژول استخراج مونرو: ارز رمزنگاری شده مونرو را استخراج می کند و خود را به عنوان یک فرآیند "chrome.exe" پنهان می کند.

گنجاندن ماژول استخراج ارز دیجیتال Monero به عنوان تلاشی برای منحرف کردن توجه تلقی می شود، زیرا اهداف اصلی عوامل تهدید حول دزدی داده ها و بهره برداری از سیستم است که توسط ماژول های دیگر تسهیل می شود.