Malware StripedFly

Pakar keselamatan siber telah menemui jenis perisian hasad yang sangat maju yang dipanggil StripedFly, yang sebelum ini tidak diketahui oleh komuniti infosec. Perisian hasad ini telah menunjukkan kesan global, menyasarkan dan menjejaskan lebih daripada satu juta mangsa sejak sekurang-kurangnya 2017. Pada mulanya menyamar sebagai alat perlombongan mata wang kripto, ia telah didedahkan sebagai perisian hasad yang kompleks dan serba boleh yang menampilkan rangka kerja penyebaran diri yang pelbagai aspek .

StripedFly Mungkin Telah Menjangkiti Lebih Sejuta Sistem

Rangka kerja perisian hasad StripedFly terserlah berikutan pengesanannya oleh penyelidik, yang mengenal pasti kehadirannya dalam proses WININIT.EXE, komponen sah OS Windows yang bertanggungjawab untuk memulakan pelbagai subsistem.

Setelah menyelidiki kod yang disuntik, ternyata bahawa StripedFly memulakan muat turun dan pelaksanaan fail tambahan, terutamanya skrip PowerShell, daripada platform pengehosan yang sah seperti Bitbucket, GitHub dan GitLab. Analisis lanjut mendedahkan bahawa perisian hasad mungkin menyusup peranti melalui eksploitasi tersuai terhadap kerentanan EternalBlue SMBv1, terutamanya menyasarkan komputer yang terdedah kepada internet.

Muatan StripedFly terakhir, dinamakan 'system.img,' termasuk klien rangkaian TOR ringan proprietari untuk melindungi komunikasi rangkaiannya daripada pemintasan. Ia juga mempunyai keupayaan untuk menyahaktifkan protokol SMBv1 dan menyebarkannya ke peranti Windows dan Linux lain pada rangkaian menggunakan SSH dan EternalBlue. Pelayan Command-and-Control (C2, C&C) untuk StripedFly beroperasi dalam rangkaian TOR, mengekalkan komunikasi melalui mesej beacon yang kerap mengandungi ID mangsa yang unik.

Untuk mewujudkan kegigihan pada sistem Windows, StripedFly menyesuaikan pendekatannya berdasarkan tahap keistimewaan dan kehadiran PowerShell. Dengan ketiadaan PowerShell, ia menjana fail tersembunyi dalam direktori %APPDATA%. Apabila PowerShell tersedia, perisian hasad melaksanakan skrip untuk membuat tugas berjadual atau mengubah kunci Windows Registry.

Di Linux, StripedFly menggunakan moniker 'sd-pam.' Kegigihan pada platform ini dicapai melalui perkhidmatan systemd, fail .desktop autostarting, atau dengan mengubah suai pelbagai profil dan fail permulaan, termasuk fail /etc/rc*, profile, bashrc atau inittab.

Data daripada repositori Bitbucket yang bertanggungjawab untuk menghantar muatan peringkat akhir kepada sistem Windows menunjukkan bahawa antara April 2023 dan September 2023, hampir 60,000 sistem telah dijangkiti oleh StripedFly. Walau bagaimanapun, penyelidik menganggarkan bahawa jumlah bilangan peranti yang terjejas oleh rangka kerja StripedFly mungkin melebihi satu juta.

Banyak Modul Khusus Ditemui Dalam Malware StripedFly

Perisian hasad direka bentuk sebagai satu, boleh laku binari serba lengkap dengan modul boleh suai, memberikannya fleksibiliti operasi yang biasanya dikaitkan dengan operasi Ancaman Berterusan Lanjutan (APT):

• • Storan Konfigurasi: Modul ini menyimpan konfigurasi perisian hasad yang disulitkan dengan selamat.

• • Naik taraf/Nyahpasang: Bertanggungjawab untuk mengurus kemas kini atau pengalihan keluar berdasarkan arahan yang diterima daripada pelayan Command-and-Control (C2).

• • Proksi Songsang: Mendayakan tindakan jauh dalam rangkaian mangsa.

• • Pengendali Perintah Pelbagai: Melaksanakan pelbagai arahan, termasuk menangkap tangkapan skrin dan menjalankan kod shell.

• • Penuai Kredensial: Mengimbas dan mendapatkan semula data pengguna yang sensitif seperti kata laluan dan nama pengguna.

• • Tugasan Boleh Diulang: Melaksanakan tugas tertentu di bawah keadaan yang telah ditetapkan, seperti merakam audio daripada mikrofon.

• • Modul Recon: Menghantar maklumat sistem yang komprehensif ke pelayan C2.

• • SSH Infector: Menggunakan kelayakan SSH yang dituai untuk menyusup ke sistem lain.

• • SMBv1 Infector: Merambat ke sistem Windows lain dengan mengeksploitasi kerentanan EternalBlue tersuai.

• • Modul Perlombongan Monero: Mines Monero cryptocurrency, menyamar sebagai proses "chrome.exe".

Kemasukan modul penambang mata wang kripto Monero dilihat sebagai percubaan untuk mengalihkan perhatian, kerana objektif utama pelaku ancaman berkisar pada kecurian data dan eksploitasi sistem, yang difasilitasi oleh modul lain.