StripedFly Malware

Kiberdrošības eksperti ir atklājuši ārkārtīgi progresīvu ļaunprātīgas programmatūras celmu, ko sauc par StripedFly, kas iepriekš nebija zināms infosec kopienai. Šī ļaunprogrammatūra ir demonstrējusi globālu ietekmi, mērķējot un ietekmējot vairāk nekā vienu miljonu upuru vismaz kopš 2017. gada. Sākotnēji tā tika maskēta kā kriptovalūtas ieguves rīks, un tika atklāts, ka tā ir sarežģīta un daudzpusīga ļaunprogrammatūra, kurai ir daudzšķautņaina, pašizplatoša sistēma. .

StripedFly, iespējams, ir inficējis vairāk nekā miljonu sistēmu

StripedFly ļaunprogrammatūras ietvars atklājās pēc tam, kad to atklāja pētnieki, kuri identificēja tās klātbūtni WININIT.EXE procesā, kas ir likumīgs Windows OS komponents, kas atbild par dažādu apakšsistēmu aktivizēšanu.

Iedziļinoties ievadītajā kodā, kļuva skaidrs, ka StripedFly uzsāk papildu failu, īpaši PowerShell skriptu, lejupielādi un izpildi no likumīgām mitināšanas platformām, piemēram, Bitbucket, GitHub un GitLab. Turpmāka analīze atklāja, ka ļaunprātīgā programmatūra, iespējams, iekļuva ierīcēs, izmantojot pielāgotu EternalBlue SMBv1 ievainojamību, galvenokārt mērķējot uz datoriem, kas ir pakļauti internetam.

Pēdējā StripedFly kravnesība ar nosaukumu “system.img” ietver patentētu vieglo TOR tīkla klientu, lai aizsargātu tīkla sakarus no pārtveršanas. Tam ir arī iespēja deaktivizēt SMBv1 protokolu un izplatīties uz citām Windows un Linux ierīcēm tīklā, izmantojot SSH un EternalBlue. Command-and-Control (C2, C&C) serveris StripedFly darbojas TOR tīklā, uzturot saziņu, izmantojot biežus bākas ziņojumus, kas satur unikālu upura ID.

Lai nodrošinātu Windows sistēmu noturību, StripedFly pielāgo savu pieeju, pamatojoties uz privilēģiju līmeni un PowerShell klātbūtni. Ja nav PowerShell, tas ģenerē slēptu failu direktorijā %APPDATA%. Kad PowerShell ir pieejams, ļaunprogrammatūra izpilda skriptus, lai izveidotu ieplānotus uzdevumus vai mainītu Windows reģistra atslēgas.

Operētājsistēmā Linux StripedFly izmanto nosaukumu "sd-pam". Noturība šajā platformā tiek panākta, izmantojot sistēmas pakalpojumus, automātisku .desktop failu palaišanu vai dažādu profilu un starta failu modificēšanu, tostarp /etc/rc*, profile, bashrc vai inittab failus.

Dati no Bitbucket krātuves, kas ir atbildīga par pēdējās stadijas lietderīgās slodzes piegādi Windows sistēmām, liecina, ka no 2023. gada aprīļa līdz 2023. gada septembrim ar StripedFly tika inficētas gandrīz 60 000 sistēmu. Tomēr pētnieki lēš, ka kopējais StripedFly ietvara ietekmēto ierīču skaits var pārsniegt vienu miljonu.

StripedFly ļaunprātīgajā programmā ir atrasti daudzi specializēti moduļi

Ļaunprātīga programmatūra ir izstrādāta kā viens, autonoms binārs izpildāms fails ar pielāgojamiem moduļiem, nodrošinot tai darbības elastību, kas parasti ir saistīta ar Advanced Persistent Threat (APT) darbībām:

• • Konfigurācijas krātuve: šis modulis droši saglabā šifrētās ļaunprātīgas programmatūras konfigurāciju.

• • Jaunināšana/atinstalēšana: atbild par atjauninājumu pārvaldību vai noņemšanu, pamatojoties uz komandām, kas saņemtas no Command-and-Control (C2) servera.

• • Reversais starpniekserveris: iespējo attālās darbības upura tīklā.

• • Dažādi komandu apdarinātāji: izpilda dažādas komandas, tostarp ekrānuzņēmumu tveršanu un čaulas koda palaišanu.

• • Credential Harvester: skenē un izgūst sensitīvus lietotāja datus, piemēram, paroles un lietotājvārdus.

• • Atkārtojami uzdevumi: veic konkrētus uzdevumus iepriekš definētos apstākļos, piemēram, ieraksta audio no mikrofona.

• • Recon Module: nosūta visaptverošu sistēmas informāciju uz C2 serveri.

• • SSH Infector: izmanto iegūtos SSH akreditācijas datus, lai iefiltrētos citās sistēmās.

• • SMBv1 Infector: izplatās uz citām Windows sistēmām, izmantojot pielāgotu EternalBlue ievainojamību.

• • Monero ieguves modulis: iegūst Monero kriptovalūtu, maskējoties kā "chrome.exe" process.

Monero kriptovalūtas ieguves moduļa iekļaušana tiek uzskatīta par mēģinājumu novērst uzmanību, jo draudu dalībnieku galvenie mērķi ir saistīti ar datu zādzību un sistēmas izmantošanu, ko veicina citi moduļi.