StripedFly Malware

Kiberbiztonsági szakértők fedezték fel a StripedFly nevű, az infosec közösség számára korábban ismeretlen rosszindulatú program kivételesen fejlett törzsét. Ez a rosszindulatú program globális hatást mutatott, és legalább 2017 óta több mint egymillió áldozatot céloz meg és érint. Kezdetben kriptovaluta-bányászati eszköznek álcázva kiderült, hogy egy összetett és sokoldalú rosszindulatú program, amely sokoldalú, önterjesztő keretrendszerrel rendelkezik. .

A StripedFly több mint egymillió rendszert fertőzhetett meg

A StripedFly kártevő-keretrendszer azt követően került napvilágra, hogy a kutatók észlelték, és azonosították a WININIT.EXE folyamatban, amely a Windows operációs rendszer legális összetevője, amely különféle alrendszerek kezdeményezéséért felelős.

A beinjektált kódban való elmélyülés során nyilvánvalóvá vált, hogy a StripedFly további fájlok, nevezetesen PowerShell-szkriptek letöltését és végrehajtását kezdeményezi olyan legitim hosting platformokról, mint a Bitbucket, a GitHub és a GitLab. A további elemzések feltárták, hogy a rosszindulatú program valószínűleg az EternalBlue SMBv1 sebezhetőség testreszabott kihasználásával hatol be az eszközökre, elsősorban az internetnek kitett számítógépeket célozva meg.

A „system.img” névre keresztelt utolsó StripedFly hasznos adat egy szabadalmaztatott, könnyű TOR hálózati klienst tartalmaz, amely megvédi a hálózati kommunikációt az elfogástól. Arra is képes, hogy deaktiválja az SMBv1 protokollt, és SSH és EternalBlue segítségével továbbítsa magát a hálózat többi Windows és Linux eszközére. A StripedFly Command-and-Control (C2, C&C) szervere a TOR hálózaton belül működik, és a kommunikációt gyakori, egyedi áldozatazonosítót tartalmazó beacon üzeneteken keresztül tartja fenn.

A Windows rendszereken a tartósság megteremtése érdekében a StripedFly a jogosultsági szint és a PowerShell jelenléte alapján adaptálja megközelítését. A PowerShell hiányában egy rejtett fájlt hoz létre a %APPDATA% könyvtárban. Amikor a PowerShell elérhető, a rosszindulatú program parancsfájlokat hajt végre ütemezett feladatok létrehozásához vagy a Windows rendszerleíró kulcsainak módosításához.

Linuxon a StripedFly az „sd-pam” becenevet veszi át. A platformon való kitartást a rendszerszolgáltatások, a .desktop fájlok automatikus indítása, illetve a különféle profil- és indítófájlok, köztük az /etc/rc*, profile, bashrc vagy inittab fájlok módosítása éri el.

A Bitbucket adattárból származó adatok, amelyek a végső szakasz hasznos terhelésének Windows rendszerekre történő eljuttatásáért felelősek, arra utalnak, hogy 2023 áprilisa és 2023 szeptembere között közel 60 000 rendszert fertőzött meg a StripedFly. A kutatók becslése szerint azonban a StripedFly keretrendszerrel érintett eszközök teljes száma meghaladhatja az egymilliót.

Számos speciális modul található a StripedFly malware-ben

A rosszindulatú program egyetlen, önálló bináris végrehajtható fájlként készült, adaptálható modulokkal, amely működési rugalmasságot biztosít, amely jellemzően az Advanced Persistent Threat (APT) műveletekhez kapcsolódik:

• Konfiguráció tárolása: Ez a modul biztonságosan tárolja a titkosított malware-konfigurációt.
• Frissítés/Eltávolítás: A Command-and-Control (C2) kiszolgálótól kapott parancsok alapján a frissítések vagy eltávolítások kezeléséért felelős.
• Fordított proxy: Lehetővé teszi a távoli műveleteket az áldozat hálózatán belül.
• Vegyes parancskezelő: Különféle parancsokat hajt végre, beleértve a képernyőképek rögzítését és a shellkód futtatását.
• Hitelesítés-gyűjtő: Szkenneli és visszakeresi az érzékeny felhasználói adatokat, például jelszavakat és felhasználóneveket.
• Ismételhető feladatok: meghatározott feladatokat hajt végre előre meghatározott feltételek mellett, például hangot rögzít a mikrofonból.
• Recon Module: Átfogó rendszerinformációkat küld a C2 szervernek.
• SSH Infector: A begyűjtött SSH hitelesítő adatokat felhasználja más rendszerekbe való behatoláshoz.
• SMBv1 Infector: Egy egyéni EternalBlue biztonsági rést kihasználva átterjed más Windows rendszerekre.
• Monero bányászati modul: Monero kriptovalutát bányászik, "chrome.exe" folyamatnak álcázva magát.

A Monero kriptovaluta bányász modul beépítése a figyelem elterelésére tett kísérletnek tekinthető, mivel a fenyegető szereplők elsődleges céljai az adatlopás és a rendszerkizsákmányolás körül forognak, amit a többi modul is elősegít.