មេរោគ StripedFly

អ្នកជំនាញផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតបានរកឃើញមេរោគកម្រិតខ្ពស់ពិសេសមួយដែលមានឈ្មោះថា StripedFly ដែលពីមុនមិនស្គាល់សហគមន៍ infosec ។ មេរោគនេះបានបង្ហាញពីផលប៉ះពាល់ជាសកល កំណត់គោលដៅ និងប៉ះពាល់ដល់ជនរងគ្រោះជាងមួយលាននាក់ ចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2017។ ដំបូងឡើយត្រូវបានក្លែងធ្វើជាឧបករណ៍ជីកយករ៉ែគ្រីបតូ វាត្រូវបានគេបង្ហាញថាជាមេរោគដ៏ស្មុគស្មាញ និងអាចប្រើប្រាស់បានដែលមានក្របខ័ណ្ឌពហុមុខ និងផ្សព្វផ្សាយដោយខ្លួនឯង .

StripedFly អាចឆ្លងមេរោគជាងមួយលានប្រព័ន្ធ

ក្របខ័ណ្ឌកម្មវិធីមេរោគ StripedFly បានលេចចេញជារូបរាងបន្ទាប់ពីការរកឃើញរបស់វាដោយអ្នកស្រាវជ្រាវ ដែលបានកំណត់វត្តមានរបស់វានៅក្នុងដំណើរការ WININIT.EXE ដែលជាធាតុផ្សំស្របច្បាប់នៃ Windows OS ដែលទទួលខុសត្រូវក្នុងការចាប់ផ្តើមប្រព័ន្ធរងផ្សេងៗ។

នៅពេលស្វែងយល់ពីកូដដែលបានចាក់ វាបានក្លាយជាភស្តុតាងដែលថា StripedFly ផ្តួចផ្តើមការទាញយក និងដំណើរការឯកសារបន្ថែម ជាពិសេសស្គ្រីប PowerShell ពីវេទិកាបង្ហោះស្របច្បាប់ដូចជា Bitbucket, GitHub និង GitLab ។ ការវិភាគបន្ថែមបានបង្ហាញឱ្យឃើញថា មេរោគទំនងជាជ្រៀតចូលឧបករណ៍តាមរយៈការកេងប្រវ័ញ្ចតាមតម្រូវការនៃភាពងាយរងគ្រោះ EternalBlue SMBv1 ដោយផ្តោតជាចម្បងលើកុំព្យូទ័រដែលប្រើអ៊ីនធឺណិត។

បន្ទុកចុងក្រោយរបស់ StripedFly ដែលមានឈ្មោះថា 'system.img' រួមមានម៉ាស៊ីនភ្ញៀវបណ្តាញ TOR ទម្ងន់ស្រាលដែលមានកម្មសិទ្ធិ ដើម្បីការពារទំនាក់ទំនងបណ្តាញរបស់ខ្លួនពីការស្ទាក់ចាប់។ វាក៏មានសមត្ថភាពក្នុងការបិទដំណើរការពិធីការ SMBv1 និងផ្សព្វផ្សាយខ្លួនវាទៅឧបករណ៍ Windows និង Linux ផ្សេងទៀតនៅលើបណ្តាញដោយប្រើ SSH និង EternalBlue ។ ម៉ាស៊ីនមេ Command-and-Control (C2, C&C) សម្រាប់ StripedFly ដំណើរការក្នុងបណ្តាញ TOR ដោយរក្សាការទំនាក់ទំនងតាមរយៈសារ beacon ញឹកញាប់ដែលមានលេខសម្គាល់ជនរងគ្រោះតែមួយគត់។

ដើម្បីបង្កើតភាពជាប់លាប់នៅលើប្រព័ន្ធ Windows StripedFly សម្របវិធីសាស្រ្តរបស់វាដោយផ្អែកលើកម្រិតឯកសិទ្ធិ និងវត្តមានរបស់ PowerShell ។ ក្នុងករណីដែលគ្មាន PowerShell វាបង្កើតឯកសារលាក់នៅក្នុងថត %APPDATA% ។ នៅពេលដែល PowerShell មាន មេរោគនឹងដំណើរការស្គ្រីប ដើម្បីបង្កើតកិច្ចការដែលបានកំណត់ពេល ឬផ្លាស់ប្តូរសោចុះបញ្ជីវីនដូ។

នៅលើ Linux, StripedFly ទទួលយក moniker 'sd-pam' ។ ភាពស្ថិតស្ថេរនៅលើវេទិកានេះត្រូវបានសម្រេចតាមរយៈសេវាកម្មប្រព័ន្ធ ការចាប់ផ្ដើមឯកសារ .desktop ដោយស្វ័យប្រវត្តិ ឬដោយការកែប្រែទម្រង់ផ្សេងៗ និងឯកសារចាប់ផ្ដើម រួមទាំង /etc/rc* ទម្រង់ bashrc ឬឯកសារ inittab ។

ទិន្នន័យពីឃ្លាំង Bitbucket ដែលទទួលខុសត្រូវក្នុងការបញ្ជូនបន្ទុកដំណាក់កាលចុងក្រោយទៅកាន់ប្រព័ន្ធ Windows បានបង្ហាញថា នៅចន្លោះខែមេសា ឆ្នាំ 2023 ដល់ខែកញ្ញា ឆ្នាំ 2023 ប្រព័ន្ធជិត 60,000 ត្រូវបានឆ្លងមេរោគដោយ StripedFly ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវប៉ាន់ស្មានថាចំនួនឧបករណ៍សរុបដែលរងផលប៉ះពាល់ដោយក្របខ័ណ្ឌ StripedFly អាចលើសពីមួយលាន។

ម៉ូឌុលឯកទេសជាច្រើនត្រូវបានរកឃើញនៅក្នុងមេរោគ StripedFly

មេរោគនេះត្រូវបានរចនាឡើងជាប្រព័ន្ធគោលពីរដែលមានដោយខ្លួនឯងតែមួយដែលអាចប្រតិបត្តិបានជាមួយនឹងម៉ូឌុលដែលអាចប្រែប្រួលបាន ដោយផ្តល់ឱ្យវានូវភាពបត់បែននៃប្រតិបត្តិការដែលជាធម្មតាត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងប្រតិបត្តិការ Advanced Persistent Threat (APT)៖

• ការកំណត់រចនាសម្ព័ន្ធការផ្ទុក៖ ម៉ូឌុលនេះរក្សាទុកការកំណត់រចនាសម្ព័ន្ធមេរោគដែលបានអ៊ិនគ្រីបដោយសុវត្ថិភាព។
• ការអាប់ដេត/លុបការដំឡើង៖ ទទួលខុសត្រូវក្នុងការគ្រប់គ្រងការអាប់ដេត ឬការដកចេញដោយផ្អែកលើពាក្យបញ្ជាដែលទទួលបានពីម៉ាស៊ីនមេ Command-and-Control (C2)។
• ប្រូកស៊ីបញ្ច្រាស៖ បើកសកម្មភាពពីចម្ងាយនៅក្នុងបណ្តាញជនរងគ្រោះ។
• កម្មវិធីគ្រប់គ្រងពាក្យបញ្ជាផ្សេងៗ៖ ប្រតិបត្តិពាក្យបញ្ជាផ្សេងៗ រួមទាំងការចាប់យករូបថតអេក្រង់ និងដំណើរការកូដសែល។
• Credential Harvester៖ ស្កេន និងទាញយកទិន្នន័យអ្នកប្រើប្រាស់ដ៏រសើប ដូចជាពាក្យសម្ងាត់ និងឈ្មោះអ្នកប្រើប្រាស់។
• កិច្ចការដែលអាចធ្វើម្តងទៀតបាន៖ អនុវត្តកិច្ចការជាក់លាក់ក្រោមលក្ខខណ្ឌដែលបានកំណត់ជាមុន ដូចជាការថតសំឡេងពីមីក្រូហ្វូន។
• ម៉ូឌុល Recon៖ ផ្ញើព័ត៌មានប្រព័ន្ធដ៏ទូលំទូលាយទៅកាន់ម៉ាស៊ីនមេ C2 ។
• SSH Infector៖ ប្រើប្រាស់ព័ត៌មានសម្គាល់ SSH ដែលប្រមូលបានដើម្បីជ្រៀតចូលប្រព័ន្ធផ្សេងទៀត។
• SMBv1 Infector៖ ផ្សព្វផ្សាយទៅកាន់ប្រព័ន្ធ Windows ផ្សេងទៀតដោយទាញយកភាពងាយរងគ្រោះ EternalBlue ផ្ទាល់ខ្លួន។
• Monero Mining Module: Mines Monero cryptocurrency ក្លែងខ្លួនវាជាដំណើរការ "chrome.exe" ។

ការដាក់បញ្ចូលម៉ូឌុល Monero cryptocurrency miner ត្រូវបានគេមើលឃើញថាជាការប៉ុនប៉ងបង្វែរការយកចិត្តទុកដាក់ ដោយសារតែគោលបំណងចម្បងរបស់តួអង្គគំរាមកំហែងគឺជុំវិញការលួចទិន្នន័យ និងការកេងប្រវ័ញ្ចប្រព័ន្ធ ដែលសម្របសម្រួលដោយម៉ូឌុលផ្សេងទៀត។