StripedFly मालवेयर

साइबरसुरक्षा विशेषज्ञहरूले मालवेयरको असाधारण रूपमा उन्नत स्ट्रेन पत्ता लगाएका छन् जसलाई StripedFly भनिन्छ, पहिले इन्फोसेक समुदायलाई थाहा थिएन। यो मालवेयरले विश्वव्यापी प्रभाव देखाएको छ, कम्तिमा 2017 देखि एक मिलियन भन्दा बढी पीडितहरूलाई लक्षित र प्रभाव पारेको छ। प्रारम्भिक रूपमा क्रिप्टोकरेन्सी माइनिङ उपकरणको रूपमा भेषमा, यो बहुमुखी, स्व-प्रसारित फ्रेमवर्कको विशेषता भएको एक जटिल र बहुमुखी मालवेयर भएको खुलासा भएको छ। ।

StripedFly ले एक मिलियन भन्दा बढी प्रणालीहरूलाई संक्रमित गरेको हुन सक्छ

StripedFly मालवेयर ढाँचा अनुसन्धानकर्ताहरूले पत्ता लगाएपछि प्रकाशमा आयो, जसले WININIT.EXE प्रक्रियामा यसको उपस्थिति पहिचान गर्‍यो, विभिन्न उपप्रणालीहरू सुरु गर्न जिम्मेवार Windows OS को वैध कम्पोनेन्ट।

इन्जेक्सन गरिएको कोडको खोजी गर्दा, यो स्पष्ट भयो कि StripedFly ले Bitbucket, GitHub, र GitLab जस्ता वैध होस्टिङ प्लेटफर्महरूबाट थप फाइलहरू, विशेष गरी PowerShell स्क्रिप्टहरूको डाउनलोड र कार्यान्वयन सुरु गर्छ। थप विश्लेषणले पत्ता लगायो कि मालवेयरले EternalBlue SMBv1 जोखिमको अनुकूलित शोषणको माध्यमबाट उपकरणहरूमा घुसपैठ गरेको हुन सक्छ, मुख्य रूपमा इन्टरनेट-एक्सपोज गरिएका कम्प्युटरहरूलाई लक्षित गर्दै।

अन्तिम StripedFly पेलोड, 'system.img' नाम दिइएको छ, जसमा यसको सञ्जाल संचारलाई अवरोधबाट जोगाउनको लागि स्वामित्वको हल्का TOR नेटवर्क क्लाइन्ट समावेश छ। योसँग SMBv1 प्रोटोकललाई निष्क्रिय पार्ने र SSH र EternalBlue प्रयोग गरेर नेटवर्कमा अन्य Windows र Linux उपकरणहरूमा प्रचार गर्ने क्षमता पनि छ। StripedFly को लागि कमाण्ड-एण्ड-कन्ट्रोल (C2, C&C) सर्भरले TOR नेटवर्क भित्र काम गर्दछ, एक अद्वितीय पीडित ID भएको बारम्बार बीकन सन्देशहरू मार्फत सञ्चार कायम राख्छ।

विन्डोज प्रणालीहरूमा दृढता स्थापित गर्न, StripedFly ले विशेषाधिकार स्तर र PowerShell को उपस्थितिमा आधारित आफ्नो दृष्टिकोणलाई अनुकूलन गर्छ। PowerShell को अनुपस्थितिमा, यसले %APPDATA% डाइरेक्टरीमा लुकाइएको फाइल उत्पन्न गर्दछ। जब PowerShell उपलब्ध हुन्छ, मालवेयरले निर्धारित कार्यहरू सिर्जना गर्न वा Windows रजिस्ट्री कुञ्जीहरू परिवर्तन गर्न स्क्रिप्टहरू कार्यान्वयन गर्दछ।

Linux मा, StripedFly ले moniker 'sd-pam' लाई अपनाउँछ। यस प्लेटफर्ममा दृढता प्रणालीd सेवाहरू, .desktop फाइलहरू स्वत: सुरु गरेर, वा /etc/rc*, प्रोफाइल, bashrc, वा inittab फाइलहरू सहित विभिन्न प्रोफाइल र स्टार्टअप फाइलहरू परिमार्जन गरेर प्राप्त गरिन्छ।

विन्डोज प्रणालीहरूमा अन्तिम चरणको पेलोड डेलिभर गर्न जिम्मेवार बिटबकेट रिपोजिटरीको डेटाले अप्रिल २०२३ र सेप्टेम्बर २०२३ बीच लगभग ६०,००० प्रणालीहरू StripedFly द्वारा संक्रमित भएको बताउँछ। यद्यपि, अन्वेषकहरूले अनुमान गरेका छन् कि StripedFly फ्रेमवर्कबाट प्रभावित यन्त्रहरूको कुल संख्या एक मिलियन भन्दा बढी हुन सक्छ।

धेरै विशेष मोड्युलहरू StripedFly मालवेयरमा फेला पर्यो

यो मालवेयर एकल, आत्म-निहित बाइनरी कार्यान्वयन योग्य मोड्युलहरूको रूपमा डिजाइन गरिएको छ, यसले यसलाई सामान्यतया उन्नत पर्सिस्टेन्ट थ्रेट (एपीटी) सञ्चालनहरूसँग सम्बन्धित परिचालन लचिलोपन प्रदान गर्दछ:

• कन्फिगरेसन भण्डारण: यो मोड्युलले इन्क्रिप्टेड मालवेयर कन्फिगरेसनलाई सुरक्षित रूपमा भण्डारण गर्छ।
• अपग्रेड/अनइन्स्टल गर्नुहोस्: कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट प्राप्त आदेशहरूमा आधारित अद्यावधिकहरू वा हटाउने व्यवस्थापनको लागि जिम्मेवार।
• रिभर्स प्रोक्सी: पीडितको नेटवर्क भित्र टाढाको कार्यहरू सक्षम गर्दछ।
• विविध आदेश ह्यान्डलर: स्क्रिनसटहरू क्याप्चर गर्ने र शेलकोड चलाउने सहित विभिन्न आदेशहरू कार्यान्वयन गर्दछ।
• क्रेडेन्शियल हार्वेस्टर: पासवर्ड र प्रयोगकर्ता नामहरू जस्तै संवेदनशील प्रयोगकर्ता डेटा स्क्यान र पुन: प्राप्त गर्दछ।
• दोहोर्याउन सकिने कार्यहरू: पूर्वनिर्धारित अवस्थाहरूमा विशेष कार्यहरू प्रदर्शन गर्दछ, जस्तै माइक्रोफोनबाट अडियो रेकर्डिङ।
• Recon मोड्युल: C2 सर्भरमा व्यापक प्रणाली जानकारी पठाउँछ।
• एसएसएच इन्फेक्टर: अन्य प्रणालीहरूमा घुसपैठ गर्न काटिएको एसएसएच प्रमाणहरू प्रयोग गर्दछ।
• SMBv1 Infector: अनुकूलन EternalBlue जोखिमको शोषण गरेर अन्य Windows प्रणालीहरूमा प्रचार गर्दछ।
• Monero Mining Module: Mines Monero cryptocurrency, आफैलाई "chrome.exe" प्रक्रियाको रूपमा भेषमा।

मोनेरो क्रिप्टोकरेन्सी माइनर मोड्युलको समावेशलाई ध्यान हटाउने प्रयासको रूपमा हेरिएको छ, किनकि खतरा कर्ताहरूको प्राथमिक उद्देश्य डेटा चोरी र प्रणाली शोषणको वरिपरि घुम्छ, अन्य मोड्युलहरूद्वारा सहज बनाइएको।