StripedFly-haittaohjelma

Kyberturvallisuusasiantuntijat ovat havainneet poikkeuksellisen kehittyneen haittaohjelmakannan nimeltä StripedFly, jota tietoturvayhteisö ei aiemmin tuntenut. Tämä haittaohjelma on osoittanut maailmanlaajuista vaikutusta, ja se on kohdistunut yli miljoonaan uhriin ja vaikuttanut siihen ainakin vuodesta 2017 lähtien. Aluksi kryptovaluutan louhintatyökaluksi naamioitunut se on paljastunut monimutkaiseksi ja monipuoliseksi haittaohjelmaksi, jolla on monipuolinen, itseään levittävä kehys. .

StripedFly on saattanut tartuttaa yli miljoona järjestelmää

StripedFly-haittaohjelmakehys paljastui sen jälkeen, kun tutkijat havaitsivat sen ja havaitsivat sen läsnäolon WININIT.EXE-prosessissa, joka on Windows-käyttöjärjestelmän laillinen osa, joka on vastuussa eri alijärjestelmien käynnistämisestä.

Injektoituun koodiin perehtyessä kävi selväksi, että StripedFly käynnistää lisätiedostojen, erityisesti PowerShell-komentosarjojen, lataamisen ja suorittamisen laillisilta isännöintialustoilta, kuten Bitbucket, GitHub ja GitLab. Lisäanalyysi paljasti, että haittaohjelmat todennäköisesti tunkeutuivat laitteisiin EternalBlue SMBv1 -haavoittuvuuden mukautetun hyväksikäytön kautta, ja ne kohdistuivat ensisijaisesti Internetissä oleviin tietokoneisiin.

Viimeinen StripedFly-hyötykuorma, nimeltään "system.img", sisältää patentoidun kevyen TOR-verkkoasiakkaan, joka suojaa sen verkkoviestintää sieppaukselta. Sillä on myös mahdollisuus poistaa SMBv1-protokolla käytöstä ja levittää itsensä muihin verkon Windows- ja Linux-laitteisiin SSH:n ja EternalBluen avulla. StripedFlyn Command-and-Control (C2, C&C) -palvelin toimii TOR-verkossa ylläpitäen viestintää toistuvien majakkaviestien kautta, jotka sisältävät yksilöllisen uhritunnuksen.

Vahvistaakseen pysyvyyttä Windows-järjestelmissä StripedFly mukauttaa lähestymistapaansa käyttöoikeustason ja PowerShellin läsnäolon perusteella. PowerShellin puuttuessa se luo piilotetun tiedoston %APPDATA%-hakemistoon. Kun PowerShell on saatavilla, haittaohjelma suorittaa komentosarjoja luodakseen ajoitettuja tehtäviä tai muuttaakseen Windowsin rekisteriavaimia.

Linuxissa StripedFly käyttää nimimerkkiä "sd-pam". Pysyvyys tällä alustalla saavutetaan systemd-palveluilla, automaattisesti käynnistyvien .desktop-tiedostojen avulla tai muokkaamalla erilaisia profiili- ja käynnistystiedostoja, mukaan lukien /etc/rc*-, profile-, bashrc- tai inittab-tiedostot.

Bitbucket-tietovaraston tiedot, joka vastaa viimeisen vaiheen hyötykuorman toimittamisesta Windows-järjestelmiin, viittaavat siihen, että huhtikuun 2023 ja syyskuun 2023 välisenä aikana lähes 60 000 järjestelmää sai StripedFlyn tartunnan. Tutkijat arvioivat kuitenkin, että StripedFly-kehykseen vaikuttavien laitteiden kokonaismäärä voi ylittää miljoonan.

StripedFly-haittaohjelmasta löytyy lukuisia erikoismoduuleja

Haittaohjelma on suunniteltu yhdeksi, itsenäiseksi binäärisuoritettavaksi ohjelmaksi mukautuvilla moduuleilla, mikä tarjoaa sille toiminnallista joustavuutta, joka liittyy tyypillisesti Advanced Persistent Threat (APT) -toimintoihin:

• • Määritysten tallennus: Tämä moduuli tallentaa turvallisesti salatun haittaohjelmamäärityksen.

• • Päivitä/poista: Vastaa päivitysten tai poistojen hallinnasta Command-and-Control (C2) -palvelimelta saatujen komentojen perusteella.

• • Käänteinen välityspalvelin: Mahdollistaa etätoiminnot uhrin verkossa.

• • Sekalainen komentokäsittelijä: Suorittaa erilaisia komentoja, mukaan lukien kuvakaappausten ottaminen ja shell-koodin suorittaminen.

• • Credential Harvester: Skannaa ja hakee arkaluontoisia käyttäjätietoja, kuten salasanoja ja käyttäjätunnuksia.

• • Toistettavat tehtävät: Suorittaa tiettyjä tehtäviä ennalta määritetyissä olosuhteissa, kuten äänittää ääntä mikrofonista.

• • Recon Module: Lähettää kattavat järjestelmätiedot C2-palvelimelle.

• • SSH Infector: Käyttää kerättyjä SSH-tunnistetietoja soluttautuakseen muihin järjestelmiin.

• • SMBv1 Infector: leviää muihin Windows-järjestelmiin hyödyntämällä mukautettua EternalBlue-haavoittuvuutta.

• • Monero Mining Module: louhii Moneron kryptovaluuttaa, naamioituen "chrome.exe"-prosessiksi.

Monero kryptovaluutan kaivosmoduulin sisällyttämistä pidetään yrityksenä kääntää huomio, sillä uhkatoimijoiden ensisijaiset tavoitteet pyörivät muiden moduulien tukemana datavarkauksien ja järjestelmän hyväksikäytön ympärillä.