StripedFly Malware

Eksperter på nettsikkerhet har oppdaget en usedvanlig avansert stamme av skadelig programvare kalt StripedFly, tidligere ukjent for infosec-fellesskapet. Denne skadevaren har vist en global innvirkning, rettet mot og påvirket mer enn én million ofre siden minst 2017. Opprinnelig forkledd som et gruveverktøy for kryptovaluta, har den blitt avslørt å være en kompleks og allsidig skadelig programvare med et flerfasettert, selvforplantende rammeverk. .

StripedFly kan ha infisert over en million systemer

StripedFly-malwarerammeverket ble oppdaget av forskere, som identifiserte dets tilstedeværelse i WININIT.EXE-prosessen, en legitim komponent av Windows OS som er ansvarlig for å starte ulike undersystemer.

Etter å ha fordypet seg i den injiserte koden, ble det tydelig at StripedFly starter nedlasting og kjøring av tilleggsfiler, spesielt PowerShell-skript, fra legitime vertsplattformer som Bitbucket, GitHub og GitLab. Ytterligere analyse avslørte at skadelig programvare sannsynligvis infiltrerte enheter gjennom en tilpasset utnyttelse av EternalBlue SMBv1-sårbarheten, primært rettet mot internetteksponerte datamaskiner.

Den endelige StripedFly-nyttelasten, kalt 'system.img', inkluderer en proprietær lettvekts TOR-nettverksklient for å beskytte nettverkskommunikasjonen fra avlytting. Den har også muligheten til å deaktivere SMBv1-protokollen og forplante seg til andre Windows- og Linux-enheter på nettverket ved hjelp av SSH og EternalBlue. Command-and-Control-serveren (C2, C&C) for StripedFly opererer innenfor TOR-nettverket, og opprettholder kommunikasjon gjennom hyppige beacon-meldinger som inneholder en unik offer-ID.

For å etablere utholdenhet på Windows-systemer, tilpasser StripedFly sin tilnærming basert på rettighetsnivået og tilstedeværelsen av PowerShell. I fravær av PowerShell, genererer den en skjult fil i %APPDATA%-katalogen. Når PowerShell er tilgjengelig, kjører skadelig programvare skript for å lage planlagte oppgaver eller endre Windows-registernøkler.

På Linux bruker StripedFly monikeren "sd-pam". Utholdenhet på denne plattformen oppnås gjennom systemtjenester, automatisk start av .desktop-filer eller ved å endre ulike profil- og oppstartsfiler, inkludert /etc/rc*, profile, bashrc eller inittab-filer.

Data fra Bitbucket-depotet som er ansvarlig for å levere den siste nyttelasten til Windows-systemer antyder at mellom april 2023 og september 2023 ble nesten 60 000 systemer infisert av StripedFly. Imidlertid anslår forskere at det totale antallet enheter som påvirkes av StripedFly-rammeverket kan overstige en million.

Tallrike spesialiserte moduler funnet i StripedFly Malware

Skadevaren er utformet som en enkelt, selvstendig binær kjørbar med tilpasningsdyktige moduler, og gir den operasjonell fleksibilitet som vanligvis er forbundet med Advanced Persistent Threat (APT) operasjoner:

• Konfigurasjonslagring: Denne modulen lagrer den krypterte skadevarekonfigurasjonen på en sikker måte.
• Oppgrader/avinstaller: Ansvarlig for å administrere oppdateringer eller fjerning basert på kommandoer mottatt fra Command-and-Control-serveren (C2).
• Omvendt proxy: Aktiverer eksterne handlinger innenfor offerets nettverk.
• Diverse kommandobehandler: Utfører ulike kommandoer, inkludert å ta skjermbilder og kjøre skallkode.
• Credential Harvester: Skanner og henter sensitive brukerdata som passord og brukernavn.
• Repeterbare oppgaver: Utfører spesifikke oppgaver under forhåndsdefinerte forhold, for eksempel opptak av lyd fra mikrofonen.
• Recon Module: Sender omfattende systeminformasjon til C2-serveren.
• SSH Infector: Bruker innhøstet SSH-legitimasjon for å infiltrere andre systemer.
• SMBv1 Infector: Forplanter seg til andre Windows-systemer ved å utnytte et tilpasset EternalBlue-sårbarhet.
• Monero Mining Module: Miner Monero-kryptovaluta, forkledd seg som en "chrome.exe"-prosess.

Inkluderingen av Monero cryptocurrency miner-modulen blir sett på som et forsøk på å avlede oppmerksomheten, ettersom de primære målene til trusselaktørene dreier seg om datatyveri og systemutnyttelse, tilrettelagt av de andre modulene.