Złośliwe oprogramowanie StripedFly

Eksperci ds. cyberbezpieczeństwa odkryli wyjątkowo zaawansowaną odmianę złośliwego oprogramowania o nazwie StripedFly, nieznaną wcześniej społeczności informatycznej. To złośliwe oprogramowanie wykazało globalny wpływ, atakując i dotykając ponad milion ofiar od co najmniej 2017 r. Początkowo zamaskowane jako narzędzie do wydobywania kryptowalut, okazało się, że jest złożonym i wszechstronnym złośliwym oprogramowaniem wyposażonym w wieloaspektową, samorozprzestrzeniającą się strukturę .

StripedFly mógł zainfekować ponad milion systemów

Struktura złośliwego oprogramowania StripedFly wyszła na jaw po wykryciu przez badaczy, którzy zidentyfikowali jego obecność w procesie WININIT.EXE, legalnym komponencie systemu operacyjnego Windows odpowiedzialnym za inicjowanie różnych podsystemów.

Po zagłębieniu się w wstrzyknięty kod stało się oczywiste, że StripedFly inicjuje pobieranie i wykonywanie dodatkowych plików, w szczególności skryptów PowerShell, z legalnych platform hostingowych, takich jak Bitbucket, GitHub i GitLab. Dalsza analiza wykazała, że szkodliwe oprogramowanie prawdopodobnie przedostało się do urządzeń poprzez spersonalizowane wykorzystanie luki w zabezpieczeniach EternalBlue SMBv1, atakując głównie komputery posiadające dostęp do Internetu.

Ostateczny ładunek StripedFly, nazwany „system.img”, zawiera opatentowanego, lekkiego klienta sieciowego TOR, który chroni komunikację sieciową przed przechwyceniem. Posiada również możliwość dezaktywacji protokołu SMBv1 i propagowania się do innych urządzeń z systemem Windows i Linux w sieci za pomocą SSH i EternalBlue. Serwer dowodzenia i kontroli (C2, C&C) dla StripedFly działa w sieci TOR, utrzymując komunikację za pomocą częstych komunikatów nawigacyjnych zawierających unikalny identyfikator ofiary.

Aby zapewnić trwałość w systemach Windows, StripedFly dostosowuje swoje podejście w oparciu o poziom uprawnień i obecność programu PowerShell. W przypadku braku PowerShell generuje ukryty plik w katalogu %APPDATA%. Gdy dostępny jest program PowerShell, złośliwe oprogramowanie wykonuje skrypty w celu utworzenia zaplanowanych zadań lub zmiany kluczy rejestru systemu Windows.

W systemie Linux StripedFly przyjmuje pseudonim „sd-pam”. Trwałość na tej platformie osiąga się poprzez usługi systemowe, automatyczne uruchamianie plików .desktop lub modyfikację różnych plików profili i startowych, w tym plików /etc/rc*, profile, bashrc lub inittab.

Dane z repozytorium Bitbucket odpowiedzialnego za dostarczanie ładunku końcowego etapu do systemów Windows sugerują, że między kwietniem 2023 r. a wrześniem 2023 r. StripedFly zainfekowało prawie 60 000 systemów. Badacze szacują jednak, że łączna liczba urządzeń, na które wpływa framework StripedFly, może przekroczyć milion.

W złośliwym oprogramowaniu StripedFly znaleziono wiele wyspecjalizowanych modułów

Szkodnik został zaprojektowany jako pojedynczy, samodzielny plik wykonywalny binarny z dostosowywalnymi modułami, zapewniający mu elastyczność operacyjną typowo związaną z operacjami Advanced Persistent Threat (APT):

• • Przechowywanie konfiguracji: ten moduł bezpiecznie przechowuje zaszyfrowaną konfigurację złośliwego oprogramowania.

• • Uaktualnij/Odinstaluj: Odpowiedzialny za zarządzanie aktualizacjami lub usuwaniem na podstawie poleceń otrzymanych z serwera dowodzenia i kontroli (C2).

• • Reverse Proxy: Umożliwia zdalne działania w sieci ofiary.

• • Różne polecenia obsługi: Wykonuje różne polecenia, w tym przechwytywanie zrzutów ekranu i uruchamianie kodu powłoki.

• • Credential Harvester: skanuje i pobiera poufne dane użytkowników, takie jak hasła i nazwy użytkowników.

• • Powtarzalne zadania: Wykonuje określone zadania w określonych warunkach, np. nagrywanie dźwięku z mikrofonu.

• • Moduł Recon: Wysyła kompleksowe informacje o systemie do serwera C2.

• • Infektor SSH: wykorzystuje zebrane dane uwierzytelniające SSH do infiltracji innych systemów.

• • Infektor SMBv1: rozprzestrzenia się na inne systemy Windows, wykorzystując niestandardową lukę w zabezpieczeniach EternalBlue.

• • Moduł wydobywczy Monero: wydobywa kryptowalutę Monero, udając proces „chrome.exe”.

Włączenie modułu wydobywającego kryptowalutę Monero jest postrzegane jako próba odwrócenia uwagi, ponieważ główne cele cyberprzestępców skupiają się wokół kradzieży danych i wykorzystania systemu, co ułatwiają inne moduły.