Zlonamjerni softver StripedFly

Stručnjaci za kibernetičku sigurnost otkrili su iznimno naprednu vrstu zlonamjernog softvera nazvanu StripedFly, dosad nepoznatu infosec zajednici. Ovaj zlonamjerni softver pokazao je globalni utjecaj, ciljajući i utječući na više od milijun žrtava od najmanje 2017. U početku prerušen u alat za rudarenje kriptovaluta, otkriveno je da je složen i svestran zlonamjerni softver koji sadrži višestruki okvir koji se sam širi .

StripedFly je možda zarazio više od milijun sustava

Okvir zlonamjernog softvera StripedFly pojavio se nakon što su ga otkrili istraživači, koji su identificirali njegovu prisutnost u procesu WININIT.EXE, legitimnoj komponenti Windows OS-a odgovornoj za pokretanje različitih podsustava.

Nakon dubljeg proučavanja ubačenog koda, postalo je očito da StripedFly pokreće preuzimanje i izvršavanje dodatnih datoteka, posebice PowerShell skripti, s legitimnih hosting platformi kao što su Bitbucket, GitHub i GitLab. Daljnja analiza otkrila je da se zlonamjerni softver vjerojatno infiltrirao u uređaje putem prilagođenog iskorištavanja ranjivosti EternalBlue SMBv1, primarno ciljajući na računala izložena internetu.

Konačni StripedFly korisni teret, nazvan 'system.img,' uključuje vlasnički lagani TOR mrežni klijent za zaštitu mrežnih komunikacija od presretanja. Također posjeduje mogućnost deaktiviranja SMBv1 protokola i širenja na druge Windows i Linux uređaje na mreži koristeći SSH i EternalBlue. Command-and-Control (C2, C&C) poslužitelj za StripedFly radi unutar TOR mreže, održavajući komunikaciju putem čestih beacon poruka koje sadrže jedinstveni ID žrtve.

Kako bi uspostavio postojanost na Windows sustavima, StripedFly prilagođava svoj pristup na temelju razine privilegija i prisutnosti PowerShell-a. U nedostatku PowerShell-a, generira skrivenu datoteku u direktoriju %APPDATA%. Kada je PowerShell dostupan, zlonamjerni softver izvršava skripte za izradu zakazanih zadataka ili promjenu ključeva Windows registra.

Na Linuxu, StripedFly prihvaća nadimak 'sd-pam'. Postojanost na ovoj platformi postiže se putem systemd usluga, automatskim pokretanjem .desktop datoteka ili mijenjanjem raznih profila i datoteka za pokretanje, uključujući /etc/rc*, profile, bashrc ili inittab datoteke.

Podaci iz repozitorija Bitbucket koji je odgovoran za isporuku korisnog opterećenja završne faze Windows sustavima sugeriraju da je između travnja 2023. i rujna 2023. gotovo 60 000 sustava bilo zaraženo StripedFlyjem. Međutim, istraživači procjenjuju da bi ukupan broj uređaja na koje utječe okvir StripedFly mogao premašiti milijun.

Brojni specijalizirani moduli pronađeni u zlonamjernom softveru StripedFly

Zlonamjerni softver dizajniran je kao jedna, samostalna binarna izvršna datoteka s prilagodljivim modulima, što mu daje operativnu fleksibilnost koja se obično povezuje s naprednim trajnim prijetnjama (APT):

• • Pohrana konfiguracije: Ovaj modul sigurno pohranjuje šifriranu konfiguraciju zlonamjernog softvera.

• • Nadogradnja/deinstalacija: Odgovoran za upravljanje ažuriranjima ili uklanjanjem na temelju naredbi primljenih s Command-and-Control (C2) poslužitelja.

• • Obrnuti proxy: Omogućuje radnje na daljinu unutar mreže žrtve.

• • Rukovatelj raznim naredbama: Izvršava razne naredbe, uključujući snimanje snimki zaslona i pokretanje shellcodea.

• • Credential Harvester: skenira i dohvaća osjetljive korisničke podatke poput lozinki i korisničkih imena.

• • Ponovljivi zadaci: Obavlja specifične zadatke pod unaprijed definiranim uvjetima, kao što je snimanje zvuka s mikrofona.

• • Recon Module: šalje sveobuhvatne informacije o sustavu C2 poslužitelju.

• • SSH Infector: koristi prikupljene SSH vjerodajnice za infiltraciju u druge sustave.

• • SMBv1 Infector: širi se na druge Windows sustave iskorištavanjem prilagođene ranjivosti EternalBlue.

• • Modul za rudarenje Monero: rudari Monero kriptovalutu, prerušavajući se u proces "chrome.exe".

Uključivanje modula za rudarenje kriptovalute Monero smatra se pokušajem skretanja pozornosti, budući da se primarni ciljevi aktera prijetnji vrte oko krađe podataka i iskorištavanja sustava, što olakšavaju drugi moduli.