StripedFly ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਅਸਾਧਾਰਣ ਤੌਰ 'ਤੇ ਉੱਨਤ ਤਣਾਅ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ ਜਿਸਨੂੰ StripedFly ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਪਹਿਲਾਂ ਇਨਫੋਸਿਕ ਭਾਈਚਾਰੇ ਲਈ ਅਣਜਾਣ ਸੀ। ਇਸ ਮਾਲਵੇਅਰ ਨੇ ਘੱਟੋ-ਘੱਟ 2017 ਤੋਂ ਇੱਕ ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਪੀੜਤਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਅਤੇ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲੇ ਇੱਕ ਵਿਸ਼ਵਵਿਆਪੀ ਪ੍ਰਭਾਵ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ। ਸ਼ੁਰੂ ਵਿੱਚ ਇੱਕ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਟੂਲ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ, ਇਹ ਇੱਕ ਬਹੁ-ਪੱਖੀ, ਸਵੈ-ਪ੍ਰਸਾਰ ਫਰੇਮਵਰਕ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਵਾਲੇ ਇੱਕ ਗੁੰਝਲਦਾਰ ਅਤੇ ਬਹੁਪੱਖੀ ਮਾਲਵੇਅਰ ਹੋਣ ਦਾ ਖੁਲਾਸਾ ਹੋਇਆ ਹੈ। .

ਸਟ੍ਰਿਪਡਫਲਾਈ ਇੱਕ ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰ ਸਕਦੀ ਹੈ

StripedFly ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਇਸਦੀ ਖੋਜ ਤੋਂ ਬਾਅਦ ਸਾਹਮਣੇ ਆਇਆ, ਜਿਨ੍ਹਾਂ ਨੇ WININIT.EXE ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇਸਦੀ ਮੌਜੂਦਗੀ ਦੀ ਪਛਾਣ ਕੀਤੀ, ਜੋ ਕਿ ਵਿਭਿੰਨ ਉਪ-ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ Windows OS ਦਾ ਇੱਕ ਜਾਇਜ਼ ਹਿੱਸਾ ਹੈ।

ਇੰਜੈਕਟ ਕੀਤੇ ਕੋਡ ਦੀ ਖੋਜ ਕਰਨ 'ਤੇ, ਇਹ ਸਪੱਸ਼ਟ ਹੋ ਗਿਆ ਕਿ ਸਟ੍ਰਿਪਡਫਲਾਈ ਨੇ ਬਿਟਬਕਟ, ਗਿੱਟਹੱਬ, ਅਤੇ ਗਿੱਟਲੈਬ ਵਰਗੇ ਜਾਇਜ਼ ਹੋਸਟਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਤੋਂ ਵਾਧੂ ਫਾਈਲਾਂ, ਖਾਸ ਤੌਰ 'ਤੇ ਪਾਵਰਸ਼ੇਲ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਡਾਉਨਲੋਡ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸ਼ੁਰੂ ਕੀਤਾ ਹੈ। ਹੋਰ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਿਆ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਈਟਰਨਲ ਬਲੂ SMBv1 ਕਮਜ਼ੋਰੀ ਦੇ ਅਨੁਕੂਲਿਤ ਸ਼ੋਸ਼ਣ ਦੁਆਰਾ ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਦਾ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਇੰਟਰਨੈਟ-ਪ੍ਰਗਟਾਵੇ ਵਾਲੇ ਕੰਪਿਊਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ।

ਅੰਤਮ ਸਟ੍ਰਿਪਡਫਲਾਈ ਪੇਲੋਡ, ਜਿਸਦਾ ਨਾਮ 'system.img' ਹੈ, ਵਿੱਚ ਇਸਦੇ ਨੈੱਟਵਰਕ ਸੰਚਾਰਾਂ ਨੂੰ ਰੁਕਾਵਟ ਤੋਂ ਬਚਾਉਣ ਲਈ ਇੱਕ ਮਲਕੀਅਤ ਹਲਕਾ TOR ਨੈੱਟਵਰਕ ਕਲਾਇੰਟ ਸ਼ਾਮਲ ਹੈ। ਇਸ ਕੋਲ SMBv1 ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਅਕਿਰਿਆਸ਼ੀਲ ਕਰਨ ਅਤੇ SSH ਅਤੇ EternalBlue ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਨੈੱਟਵਰਕ 'ਤੇ ਹੋਰ ਵਿੰਡੋਜ਼ ਅਤੇ ਲੀਨਕਸ ਡਿਵਾਈਸਾਂ ਲਈ ਆਪਣੇ ਆਪ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਵੀ ਹੈ। StripedFly ਲਈ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ TOR ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਕੰਮ ਕਰਦਾ ਹੈ, ਇੱਕ ਵਿਲੱਖਣ ਪੀੜਤ ਆਈ.ਡੀ. ਵਾਲੇ ਵਾਰ-ਵਾਰ ਬੀਕਨ ਸੰਦੇਸ਼ਾਂ ਰਾਹੀਂ ਸੰਚਾਰ ਨੂੰ ਕਾਇਮ ਰੱਖਦਾ ਹੈ।

ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਲਈ, StripedFly ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪੱਧਰ ਅਤੇ PowerShell ਦੀ ਮੌਜੂਦਗੀ ਦੇ ਆਧਾਰ 'ਤੇ ਆਪਣੀ ਪਹੁੰਚ ਨੂੰ ਅਪਣਾਉਂਦੀ ਹੈ। PowerShell ਦੀ ਅਣਹੋਂਦ ਵਿੱਚ, ਇਹ %APPDATA% ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਛੁਪੀ ਹੋਈ ਫਾਈਲ ਤਿਆਰ ਕਰਦਾ ਹੈ। ਜਦੋਂ PowerShell ਉਪਲਬਧ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਅਨੁਸੂਚਿਤ ਕਾਰਜਾਂ ਨੂੰ ਬਣਾਉਣ ਜਾਂ ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ ਨੂੰ ਬਦਲਣ ਲਈ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ।

Linux 'ਤੇ, StripedFly ਮੋਨੀਕਰ 'sd-pam' ਨੂੰ ਅਪਣਾਉਂਦੀ ਹੈ। ਇਸ ਪਲੇਟਫਾਰਮ 'ਤੇ ਸਥਿਰਤਾ ਸਿਸਟਮਡ ਸੇਵਾਵਾਂ, ਆਟੋਸਟਾਰਟਿੰਗ .ਡੈਸਕਟਾਪ ਫਾਈਲਾਂ, ਜਾਂ /etc/rc*, ਪ੍ਰੋਫਾਈਲ, bashrc, ਜਾਂ inittab ਫਾਈਲਾਂ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਪ੍ਰੋਫਾਈਲਾਂ ਅਤੇ ਸਟਾਰਟਅੱਪ ਫਾਈਲਾਂ ਨੂੰ ਸੋਧ ਕੇ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ ਨੂੰ ਅੰਤਮ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਬਿੱਟਬਕੇਟ ਰਿਪੋਜ਼ਟਰੀ ਦਾ ਡੇਟਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਅਪ੍ਰੈਲ 2023 ਅਤੇ ਸਤੰਬਰ 2023 ਦੇ ਵਿਚਕਾਰ, ਲਗਭਗ 60,000 ਸਿਸਟਮ ਸਟ੍ਰਿਪਡਫਲਾਈ ਦੁਆਰਾ ਸੰਕਰਮਿਤ ਹੋਏ ਸਨ। ਹਾਲਾਂਕਿ, ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਅਨੁਮਾਨ ਹੈ ਕਿ ਸਟ੍ਰਿਪਡਫਲਾਈ ਫਰੇਮਵਰਕ ਦੁਆਰਾ ਪ੍ਰਭਾਵਿਤ ਡਿਵਾਈਸਾਂ ਦੀ ਕੁੱਲ ਸੰਖਿਆ ਇੱਕ ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਹੋ ਸਕਦੀ ਹੈ।

ਸਟ੍ਰਿਪਡਫਲਾਈ ਮਾਲਵੇਅਰ ਵਿੱਚ ਬਹੁਤ ਸਾਰੇ ਵਿਸ਼ੇਸ਼ ਮੋਡੀਊਲ ਮਿਲੇ ਹਨ

ਮਾਲਵੇਅਰ ਨੂੰ ਅਨੁਕੂਲਿਤ ਮੋਡੀਊਲਾਂ ਦੇ ਨਾਲ ਇੱਕ ਸਿੰਗਲ, ਸਵੈ-ਨਿਰਮਿਤ ਬਾਈਨਰੀ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੇ ਰੂਪ ਵਿੱਚ ਡਿਜ਼ਾਇਨ ਕੀਤਾ ਗਿਆ ਹੈ, ਇਸਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ (APT) ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਸੰਬੰਧਿਤ ਸੰਚਾਲਨ ਲਚਕਤਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ:

• ਕੌਂਫਿਗਰੇਸ਼ਨ ਸਟੋਰੇਜ: ਇਹ ਮੋਡੀਊਲ ਇਨਕ੍ਰਿਪਟਡ ਮਾਲਵੇਅਰ ਕੌਂਫਿਗਰੇਸ਼ਨ ਨੂੰ ਸੁਰੱਖਿਅਤ ਰੂਪ ਨਾਲ ਸਟੋਰ ਕਰਦਾ ਹੈ।
• ਅੱਪਗ੍ਰੇਡ/ਅਨਇੰਸਟੌਲ: ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਪ੍ਰਾਪਤ ਕਮਾਂਡਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਅੱਪਡੇਟ ਪ੍ਰਬੰਧਨ ਜਾਂ ਹਟਾਉਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ।
• ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ: ਪੀੜਤ ਦੇ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਰਿਮੋਟ ਕਾਰਵਾਈਆਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
• ਫੁਟਕਲ ਕਮਾਂਡ ਹੈਂਡਲਰ: ਸਕਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰਨ ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਚਲਾਉਣ ਸਮੇਤ ਕਈ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ।
• ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਹਾਰਵੈਸਟਰ: ਪਾਸਵਰਡ ਅਤੇ ਉਪਭੋਗਤਾ ਨਾਮ ਵਰਗੇ ਸੰਵੇਦਨਸ਼ੀਲ ਉਪਭੋਗਤਾ ਡੇਟਾ ਨੂੰ ਸਕੈਨ ਅਤੇ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।
• ਦੁਹਰਾਉਣ ਯੋਗ ਕੰਮ: ਪੂਰਵ-ਨਿਰਧਾਰਿਤ ਸਥਿਤੀਆਂ ਦੇ ਤਹਿਤ ਖਾਸ ਕੰਮ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਮਾਈਕ੍ਰੋਫੋਨ ਤੋਂ ਆਡੀਓ ਰਿਕਾਰਡ ਕਰਨਾ।
• ਰੀਕਨ ਮੋਡੀਊਲ: C2 ਸਰਵਰ ਨੂੰ ਵਿਆਪਕ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਭੇਜਦਾ ਹੈ।
• SSH ਇਨਫੈਕਟਰ: ਹੋਰ ਸਿਸਟਮਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ ਕਟਾਈ ਕੀਤੇ SSH ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
• SMBv1 ਇਨਫੈਕਟਰ: ਇੱਕ ਕਸਟਮ ਈਟਰਨਲ ਬਲੂ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਹੋਰ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਕਰਦਾ ਹੈ।
• ਮੋਨੇਰੋ ਮਾਈਨਿੰਗ ਮੋਡੀਊਲ: ਮਾਈਨਜ਼ ਮੋਨੇਰੋ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ, ਆਪਣੇ ਆਪ ਨੂੰ "chrome.exe" ਪ੍ਰਕਿਰਿਆ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਲਿਆਉਂਦੀ ਹੈ।

ਮੋਨੇਰੋ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਰ ਮੋਡੀਊਲ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਨੂੰ ਧਿਆਨ ਹਟਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਵਜੋਂ ਦੇਖਿਆ ਜਾਂਦਾ ਹੈ, ਕਿਉਂਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੇ ਮੁੱਖ ਉਦੇਸ਼ ਡੇਟਾ ਚੋਰੀ ਅਤੇ ਸਿਸਟਮ ਦੇ ਸ਼ੋਸ਼ਣ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਘੁੰਮਦੇ ਹਨ, ਦੂਜੇ ਮੋਡਿਊਲਾਂ ਦੁਆਰਾ ਸਹੂਲਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ।