StripedFly-malware

Cybersecurity-experts hebben een uitzonderlijk geavanceerde vorm van malware ontdekt, genaamd StripedFly, die voorheen onbekend was bij de infosec-gemeenschap. Deze malware heeft een wereldwijde impact aangetoond en heeft sinds minstens 2017 meer dan een miljoen slachtoffers getroffen. Aanvankelijk vermomd als een tool voor het minen van cryptocurrency, bleek het een complexe en veelzijdige malware te zijn met een veelzijdig, zichzelf voortplantend raamwerk. .

StripedFly heeft mogelijk meer dan een miljoen systemen geïnfecteerd

Het StripedFly-malwareframework kwam aan het licht na detectie door onderzoekers, die de aanwezigheid ervan in het WININIT.EXE-proces identificeerden, een legitiem onderdeel van het Windows-besturingssysteem dat verantwoordelijk is voor het initiëren van verschillende subsystemen.

Toen we ons verdiepten in de geïnjecteerde code, werd het duidelijk dat StripedFly het downloaden en uitvoeren van extra bestanden, met name PowerShell-scripts, initieert vanaf legitieme hostingplatforms zoals Bitbucket, GitHub en GitLab. Uit verdere analyse bleek dat de malware waarschijnlijk apparaten infiltreerde via een aangepaste exploit van de EternalBlue SMBv1-kwetsbaarheid, waarbij het zich voornamelijk richtte op computers die aan het internet zijn blootgesteld.

De laatste StripedFly-payload, genaamd 'system.img', bevat een eigen lichtgewicht TOR-netwerkclient om de netwerkcommunicatie te beschermen tegen onderschepping. Het beschikt ook over de mogelijkheid om het SMBv1-protocol te deactiveren en zichzelf te verspreiden naar andere Windows- en Linux-apparaten op het netwerk met behulp van SSH en EternalBlue. De Command-and-Control (C2, C&C)-server voor StripedFly werkt binnen het TOR-netwerk en onderhoudt de communicatie via frequente bakenberichten met een unieke slachtoffer-ID.

Om persistentie op Windows-systemen tot stand te brengen, past StripedFly zijn aanpak aan op basis van het privilegeniveau en de aanwezigheid van PowerShell. Bij afwezigheid van PowerShell genereert het een verborgen bestand in de map %APPDATA%. Wanneer PowerShell beschikbaar is, voert de malware scripts uit om geplande taken te maken of Windows-registersleutels te wijzigen.

Op Linux gebruikt StripedFly de naam 'sd-pam.' Persistentie op dit platform wordt bereikt door systemd services, het automatisch starten van .desktop-bestanden, of door het wijzigen van verschillende profiel- en opstartbestanden, waaronder /etc/rc*, profile, bashrc of inittab-bestanden.

Uit gegevens van de Bitbucket-repository die verantwoordelijk is voor het leveren van de laatste fase van de payload aan Windows-systemen blijkt dat tussen april 2023 en september 2023 bijna 60.000 systemen door StripedFly zijn geïnfecteerd. Onderzoekers schatten echter dat het totale aantal apparaten dat door het StripedFly-framework wordt getroffen, meer dan een miljoen kan bedragen.

Talrijke gespecialiseerde modules gevonden in de StripedFly-malware

De malware is ontworpen als een op zichzelf staand binair uitvoerbaar bestand met aanpasbare modules, waardoor het operationele flexibiliteit krijgt die doorgaans wordt geassocieerd met Advanced Persistent Threat (APT)-operaties:

• Configuratieopslag: deze module slaat de gecodeerde malwareconfiguratie veilig op.
• Upgrade/Uninstall: verantwoordelijk voor het beheer van updates of verwijdering op basis van opdrachten ontvangen van de Command-and-Control (C2)-server.
• Reverse Proxy: Maakt externe acties mogelijk binnen het netwerk van het slachtoffer.
• Diverse commandohandler: Voert verschillende commando's uit, waaronder het maken van schermafbeeldingen en het uitvoeren van shellcode.
• Credential Harvester: Scant en haalt gevoelige gebruikersgegevens op, zoals wachtwoorden en gebruikersnamen.
• Herhaalbare taken: Voert specifieke taken uit onder vooraf gedefinieerde omstandigheden, zoals het opnemen van audio via de microfoon.
• Recon-module: verzendt uitgebreide systeeminformatie naar de C2-server.
• SSH Infector: gebruikt verzamelde SSH-inloggegevens om andere systemen te infiltreren.
• SMBv1 Infector: verspreidt zich naar andere Windows-systemen door misbruik te maken van een aangepaste EternalBlue-kwetsbaarheid.
• Monero Mining Module: Mijnt de cryptocurrency van Monero, vermomd als een "chrome.exe"-proces.

De opname van de Monero cryptocurrency miner-module wordt gezien als een poging om de aandacht af te leiden, aangezien de primaire doelstellingen van de bedreigingsactoren draaien om gegevensdiefstal en systeemexploitatie, gefaciliteerd door de andere modules.