다중 라이센스 할인
Threat Database Malware StripedFly 악성코드

StripedFly 악성코드

Malware, Stealers년에 Mezo 년까지
번역 :
한국어

사이버 보안 전문가들은 이전에 infosec 커뮤니티에 알려지지 않았던 StripedFly라는 매우 발전된 악성 코드 변종을 발견했습니다. 이 악성 코드는 최소 2017년부터 백만 명 이상의 피해자를 표적으로 삼아 영향을 미치며 전 세계적으로 영향력을 입증했습니다. 처음에는 암호화폐 채굴 도구로 위장했지만, 다면적이고 자가 전파되는 프레임워크를 특징으로 하는 복잡하고 다재다능한 악성 코드인 것으로 밝혀졌습니다. .

StripedFly는 백만 개가 넘는 시스템을 감염시켰을 수 있습니다.

StripedFly 악성 코드 프레임워크는 다양한 하위 시스템 시작을 담당하는 Windows OS의 합법적인 구성 요소인 WININIT.EXE 프로세스에 존재한다는 사실을 확인한 연구원들에 의해 탐지된 후 밝혀졌습니다.

주입된 코드를 조사한 결과 StripedFly가 Bitbucket, GitHub 및 GitLab과 같은 합법적인 호스팅 플랫폼에서 추가 파일, 특히 PowerShell 스크립트의 다운로드 및 실행을 시작한다는 것이 분명해졌습니다. 추가 분석에 따르면 이 악성코드는 주로 인터넷에 노출된 컴퓨터를 표적으로 삼아 EternalBlue SMBv1 취약점을 맞춤형으로 악용하여 장치에 침투했을 가능성이 있는 것으로 나타났습니다.

'system.img'라는 최종 StripedFly 페이로드에는 네트워크 통신을 가로채지 못하도록 보호하는 독점 경량 TOR 네트워크 클라이언트가 포함되어 있습니다. 또한 SMBv1 프로토콜을 비활성화하고 SSH 및 EternalBlue를 사용하여 네트워크의 다른 Windows 및 Linux 장치에 자신을 전파하는 기능도 보유하고 있습니다. StripedFly용 명령 및 제어(C2, C&C) 서버는 TOR 네트워크 내에서 작동하며 고유한 피해자 ID가 포함된 빈번한 비콘 메시지를 통해 통신을 유지합니다.

Windows 시스템에서 지속성을 설정하기 위해 StripedFly는 권한 수준과 PowerShell의 존재 여부를 기반으로 접근 방식을 조정합니다. PowerShell이 없으면 %APPDATA% 디렉터리에 숨겨진 파일을 생성합니다. PowerShell을 사용할 수 있는 경우 악성코드는 스크립트를 실행하여 예약된 작업을 생성하거나 Windows 레지스트리 키를 변경합니다.

Linux에서 StripedFly는 'sd-pam'이라는 이름을 채택합니다. 이 플랫폼에서의 지속성은 systemd 서비스, .desktop 파일 자동 시작 또는 /etc/rc*, 프로필, bashrc 또는 inittab 파일을 포함한 다양한 프로필 및 시작 파일 수정을 통해 달성됩니다.

Windows 시스템에 최종 단계 페이로드를 전달하는 역할을 담당하는 Bitbucket 저장소의 데이터에 따르면 2023년 4월부터 2023년 9월 사이에 거의 60,000개의 시스템이 StripedFly에 감염되었습니다. 그러나 연구자들은 StripedFly 프레임워크의 영향을 받는 장치의 총 수가 백만 개를 초과할 수 있다고 추정합니다.

StripedFly 악성코드에서 수많은 특수 모듈 발견

이 악성코드는 적응 가능한 모듈을 갖춘 단일 독립형 바이너리 실행 파일로 설계되어 일반적으로 APT(Advanced Persistant Threat) 작업과 관련된 운영 유연성을 제공합니다.

  • 구성 저장소: 이 모듈은 암호화된 맬웨어 구성을 안전하게 저장합니다.
  • 업그레이드/제거: 명령 및 제어(C2) 서버에서 받은 명령을 기반으로 업데이트 또는 제거를 관리합니다.
  • 역방향 프록시: 피해자의 네트워크 내에서 원격 작업을 활성화합니다.
  • 기타 명령 처리기: 스크린샷 캡처, 쉘코드 실행 등 다양한 명령을 실행합니다.
  • Credential Harvester: 비밀번호, 사용자 이름과 같은 민감한 사용자 데이터를 스캔하고 검색합니다.
  • 반복 가능한 작업: 마이크에서 오디오 녹음과 같이 미리 정의된 조건에서 특정 작업을 수행합니다.
  • 정찰 모듈: 포괄적인 시스템 정보를 C2 서버로 보냅니다.
  • SSH Infector: 수집된 SSH 자격 증명을 활용하여 다른 시스템에 침투합니다.
  • SMBv1 감염자: 맞춤형 EternalBlue 취약점을 이용하여 다른 Windows 시스템으로 전파됩니다.
  • 모네로 채굴 모듈: "chrome.exe" 프로세스로 위장하여 모네로 암호화폐를 채굴합니다.

Monero 암호화폐 채굴기 모듈을 포함시키는 것은 위협 행위자의 주요 목표가 다른 모듈을 통해 촉진되는 데이터 도난 및 시스템 악용을 중심으로 이루어지기 때문에 주의를 돌리려는 시도로 간주됩니다.

트렌드

GhostLocker 랜섬웨어

Ransomware
GhostLocker는 GhostSec 사이버 범죄 그룹이 개발한 랜섬웨어 위협입니다. 랜섬웨어로 분류되는 이러한 유형의 위협적인 소프트웨어는 피해자의 컴퓨터나 네트워크에 있는 데이터를 암호화한 다음 암호 해독 키를 제공하는 대가로 몸값을 요구하도록 특별히 설계되었습니다. GhostLocker는 다양한 파일과 문서를 암호화하여 작동하며 파일 이름에...

알룩 서비스

Malware
Aluc 서비스는 컴퓨터 시스템의 작업 관리자에 자주 나타나는 독특한 프로세스입니다. 언뜻 보면 합법적인 서비스처럼 보이지만 실제로는 악성코드와 관련된 프로세스입니다. 이러한 기만적인 전술은 사기 관련 단체, 특히 코인 채굴자와 루트킷이 자주 사용합니다. 대략적인 검사에서 Aluc 서비스는 Windows 운영 체제에서 실행되는 다양한 정품 서비스와...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
33,083
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
31,319
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
Lookmovie.io는 안전한가요? 스크린샷

Lookmovie.io는 안전한가요?

Issue
31,243
Lookmovie.io는 동영상 스트리밍 사이트입니다. 문제는 불법 스트리밍을 위해 제공되는 콘텐츠입니다. 또한 사이트는 불량 광고 네트워크를 통해 금전적 이득을 얻습니다. 결과적으로 사용자는 종종 의심스러운 광고를 보게 되거나 웹 브라우저에서 의심스러운 웹사이트를 열게 됩니다. 실제로, 이는 불법적으로 제공되는 콘텐츠를 무시하면 사이트 자체는 안전할...
로드 중...