StripedFly Malware

साइबर सुरक्षा विशेषज्ञों ने स्ट्राइप्डफ्लाई नामक मैलवेयर के एक असाधारण उन्नत प्रकार की खोज की है, जो पहले इन्फोसेक समुदाय के लिए अज्ञात था। इस मैलवेयर ने कम से कम 2017 के बाद से दस लाख से अधिक पीड़ितों को लक्षित और प्रभावित करते हुए एक वैश्विक प्रभाव प्रदर्शित किया है। शुरुआत में एक क्रिप्टोकरेंसी माइनिंग टूल के रूप में प्रच्छन्न, यह एक जटिल और बहुमुखी मैलवेयर के रूप में सामने आया है, जिसमें एक बहुआयामी, स्व-प्रचारक ढांचा है। .

स्ट्राइप्डफ्लाई ने दस लाख से अधिक प्रणालियों को संक्रमित किया हो सकता है

स्ट्राइप्डफ्लाई मैलवेयर फ्रेमवर्क शोधकर्ताओं द्वारा इसकी खोज के बाद प्रकाश में आया, जिन्होंने WININIT.EXE प्रक्रिया में इसकी उपस्थिति की पहचान की, जो विभिन्न उपप्रणालियों को शुरू करने के लिए जिम्मेदार विंडोज ओएस का एक वैध घटक है।

इंजेक्टेड कोड में गहराई से जाने पर, यह स्पष्ट हो गया कि StripedFly Bitbucket, GitHub और GitLab जैसे वैध होस्टिंग प्लेटफ़ॉर्म से अतिरिक्त फ़ाइलों, विशेष रूप से PowerShell स्क्रिप्ट के डाउनलोड और निष्पादन की शुरुआत करता है। आगे के विश्लेषण से पता चला कि मैलवेयर संभवतः इटरनलब्लू SMBv1 भेद्यता के एक अनुकूलित शोषण के माध्यम से उपकरणों में घुसपैठ कर चुका है, जो मुख्य रूप से इंटरनेट-एक्सपोज़्ड कंप्यूटरों को लक्षित करता है।

अंतिम स्ट्राइप्डफ्लाई पेलोड, जिसे 'system.img' नाम दिया गया है, में अपने नेटवर्क संचार को अवरोधन से सुरक्षित रखने के लिए एक मालिकाना हल्का टीओआर नेटवर्क क्लाइंट शामिल है। इसमें SMBv1 प्रोटोकॉल को निष्क्रिय करने और SSH और इटरनलब्लू का उपयोग करके नेटवर्क पर अन्य विंडोज और लिनक्स डिवाइसों में खुद को प्रसारित करने की क्षमता भी है। स्ट्राइप्डफ्लाई के लिए कमांड-एंड-कंट्रोल (C2, C&C) सर्वर टीओआर नेटवर्क के भीतर संचालित होता है, जो एक अद्वितीय पीड़ित आईडी वाले लगातार बीकन संदेशों के माध्यम से संचार बनाए रखता है।

विंडोज़ सिस्टम पर दृढ़ता स्थापित करने के लिए, StripedFly विशेषाधिकार स्तर और PowerShell की उपस्थिति के आधार पर अपना दृष्टिकोण अपनाता है। PowerShell की अनुपस्थिति में, यह %APPDATA% निर्देशिका में एक छिपी हुई फ़ाइल उत्पन्न करता है। जब PowerShell उपलब्ध होता है, तो मैलवेयर निर्धारित कार्यों को बनाने या Windows रजिस्ट्री कुंजियों को बदलने के लिए स्क्रिप्ट निष्पादित करता है।

Linux पर, StripedFly उपनाम 'sd-pam' अपनाता है। इस प्लेटफ़ॉर्म पर स्थिरता सिस्टमडी सेवाओं, ऑटोस्टार्टिंग .डेस्कटॉप फ़ाइलों के माध्यम से, या /etc/rc*, प्रोफ़ाइल, bashrc, या inittab फ़ाइलों सहित विभिन्न प्रोफ़ाइल और स्टार्टअप फ़ाइलों को संशोधित करके प्राप्त की जाती है।

विंडोज़ सिस्टम पर अंतिम चरण का पेलोड पहुंचाने के लिए जिम्मेदार बिटबकेट रिपॉजिटरी के डेटा से पता चलता है कि अप्रैल 2023 और सितंबर 2023 के बीच, लगभग 60,000 सिस्टम स्ट्राइप्डफ्लाई से संक्रमित हो गए थे। हालाँकि, शोधकर्ताओं का अनुमान है कि स्ट्राइप्डफ्लाई फ्रेमवर्क से प्रभावित उपकरणों की कुल संख्या दस लाख से अधिक हो सकती है।

स्ट्राइप्डफ्लाई मैलवेयर में कई विशिष्ट मॉड्यूल पाए गए

मैलवेयर को अनुकूलनीय मॉड्यूल के साथ एकल, स्व-निहित बाइनरी निष्पादन योग्य के रूप में डिज़ाइन किया गया है, जो इसे आमतौर पर एडवांस्ड पर्सिस्टेंट थ्रेट (एपीटी) ऑपरेशन से जुड़े परिचालन लचीलेपन के साथ प्रदान करता है:

• • कॉन्फ़िगरेशन संग्रहण: यह मॉड्यूल एन्क्रिप्टेड मैलवेयर कॉन्फ़िगरेशन को सुरक्षित रूप से संग्रहीत करता है।

• • अपग्रेड/अनइंस्टॉल: कमांड-एंड-कंट्रोल (सी2) सर्वर से प्राप्त कमांड के आधार पर अपडेट प्रबंधित करने या हटाने के लिए जिम्मेदार।

• • रिवर्स प्रॉक्सी: पीड़ित के नेटवर्क के भीतर दूरस्थ गतिविधियों को सक्षम बनाता है।

• • विविध कमांड हैंडलर: स्क्रीनशॉट कैप्चर करने और शेलकोड चलाने सहित विभिन्न कमांड निष्पादित करता है।

• • क्रेडेंशियल हार्वेस्टर: पासवर्ड और उपयोगकर्ता नाम जैसे संवेदनशील उपयोगकर्ता डेटा को स्कैन और पुनर्प्राप्त करता है।

• • दोहराए जाने योग्य कार्य: पूर्वनिर्धारित परिस्थितियों में विशिष्ट कार्य करता है, जैसे माइक्रोफ़ोन से ऑडियो रिकॉर्ड करना।

• • रिकॉन मॉड्यूल: C2 सर्वर को व्यापक सिस्टम जानकारी भेजता है।

• • एसएसएच इन्फ़ेक्टर: अन्य प्रणालियों में घुसपैठ करने के लिए एकत्रित एसएसएच क्रेडेंशियल्स का उपयोग करता है।

• • SMBv1 इन्फ़ेक्टर: एक कस्टम इटरनलब्लू भेद्यता का फायदा उठाकर अन्य विंडोज सिस्टम में फैलता है।

• • मोनेरो माइनिंग मॉड्यूल: मोनरो क्रिप्टोकरेंसी को माइन करता है, खुद को "chrome.exe" प्रक्रिया के रूप में प्रच्छन्न करता है।

मोनेरो क्रिप्टोक्यूरेंसी माइनर मॉड्यूल को शामिल करने को ध्यान भटकाने के प्रयास के रूप में देखा जाता है, क्योंकि खतरे वाले अभिनेताओं का प्राथमिक उद्देश्य डेटा चोरी और सिस्टम शोषण के इर्द-गिर्द घूमता है, जो अन्य मॉड्यूल द्वारा सुगम होता है।