תוכנת זדונית StripedFly

מומחי אבטחת סייבר גילו זן מתקדם במיוחד של תוכנות זדוניות בשם StripedFly, שלא היה ידוע בעבר לקהילת infosec. תוכנה זדונית זו הוכיחה השפעה גלובלית, מכוונת ומשפיעה על יותר ממיליון קורבנות מאז 2017 לפחות. בתחילה, במסווה של כלי כריית מטבעות קריפטוגרפיים, היא התגלתה כתוכנה זדונית מורכבת ורב-תכליתית הכוללת מסגרת רבת-פנים ומפיצה עצמית. .

StripedFly עשוי להדביק יותר ממיליון מערכות

מסגרת התוכנה הזדונית StripedFly התגלתה בעקבות גילויה על ידי חוקרים, שזיהו את נוכחותה בתהליך WININIT.EXE, מרכיב לגיטימי במערכת ההפעלה Windows האחראית להפעלת תת-מערכות שונות.

לאחר התעמקות בקוד המוזרק, התברר כי StripedFly יוזם הורדה וביצוע של קבצים נוספים, בעיקר סקריפטים של PowerShell, מפלטפורמות אירוח לגיטימיות כגון Bitbucket, GitHub ו-GitLab. ניתוח נוסף העלה כי ככל הנראה התוכנה הזדונית חדרה למכשירים באמצעות ניצול מותאם אישית של הפגיעות EternalBlue SMBv1, המכוונת בעיקר למחשבים חשופים לאינטרנט.

המטען האחרון של StripedFly, בשם 'system.img', כולל לקוח רשת TOR קל משקל קנייני כדי להגן על תקשורת הרשת שלו מפני יירוט. יש לו גם את היכולת לבטל את פרוטוקול SMBv1 ולהפיץ את עצמו להתקני Windows ולינוקס אחרים ברשת באמצעות SSH ו-EternalBlue. שרת ה-Command-and-Control (C2, C&C) עבור StripedFly פועל בתוך רשת TOR, ושומר על תקשורת באמצעות הודעות משואות תכופות המכילות מזהה קורבן ייחודי.

כדי לבסס התמדה במערכות Windows, StripedFly מתאימה את הגישה שלה בהתבסס על רמת ההרשאות והנוכחות של PowerShell. בהיעדר PowerShell, הוא יוצר קובץ סמוי בספרייה %APPDATA%. כאשר PowerShell זמין, התוכנה הזדונית מבצעת סקריפטים כדי ליצור משימות מתוזמנות או לשנות את מפתחות הרישום של Windows.

בלינוקס, StripedFly מאמץ את הכינוי 'sd-pam'. התמדה בפלטפורמה זו מושגת באמצעות שירותי systemd, הפעלה אוטומטית של קבצי .desktop, או על ידי שינוי קבצי פרופיל והפעלה שונים, כולל קבצי /etc/rc*, profile, bashrc או inittab.

נתונים ממאגר Bitbucket האחראי על אספקת מטען השלב הסופי למערכות Windows מצביעים על כך שבין אפריל 2023 לספטמבר 2023, כמעט 60,000 מערכות נדבקו על ידי StripedFly. עם זאת, חוקרים מעריכים כי המספר הכולל של המכשירים המושפעים ממסגרת StripedFly עשוי לעלות על מיליון.

מודולים מיוחדים רבים נמצאו בתוכנת זדונית StripedFly

התוכנה הזדונית מתוכננת כקובץ הפעלה בינארי יחיד, עצמאי עם מודולים ניתנים להתאמה, המספק לו גמישות תפעולית הקשורה בדרך כלל לפעולות Advanced Persistent Threat (APT):

• אחסון תצורה: מודול זה מאחסן בצורה מאובטחת את תצורת התוכנה המוצפנת של תוכנות זדוניות.
• שדרוג/הסרה: אחראי על ניהול עדכונים או הסרה על סמך פקודות שהתקבלו משרת הפקודה והבקרה (C2).
• Proxy הפוך: מאפשר פעולות מרחוק בתוך הרשת של הקורבן.
• מנהל פקודות שונות: מבצע פקודות שונות, כולל לכידת צילומי מסך והפעלת קוד מעטפת.
• קציר אישורים: סורק ומאחזר נתוני משתמש רגישים כמו סיסמאות ושמות משתמש.
• משימות הניתנות לחזרה: מבצע משימות ספציפיות בתנאים מוגדרים מראש, כגון הקלטת אודיו מהמיקרופון.
• Recon Module: שולח מידע מערכת מקיף לשרת C2.
• SSH Infector: משתמש באישורי SSH שנקטפו כדי לחדור למערכות אחרות.
• SMBv1 Infector: מתפשט למערכות Windows אחרות על ידי ניצול פגיעות EternalBlue מותאמת אישית.
• מודול כריית Monero: כורה מטבעות קריפטוגרפיים של Monero, ומתחפש לתהליך "chrome.exe".

הכללת מודול כורה המטבעות הקריפטוגרפיים Monero נתפסת כניסיון להסיט את תשומת הלב, שכן המטרות העיקריות של גורמי האיום נעות סביב גניבת נתונים וניצול מערכות, בהנחיית המודולים האחרים.