Вредоносное ПО StripedFly

Эксперты по кибербезопасности обнаружили исключительно продвинутый штамм вредоносного ПО под названием StripedFly, ранее неизвестный сообществу информационной безопасности. Это вредоносное ПО продемонстрировало глобальное воздействие, нацеливаясь и затрагивая более одного миллиона жертв, по крайней мере, с 2017 года. Первоначально замаскированное под инструмент для майнинга криптовалюты, оно оказалось сложным и универсальным вредоносным ПО с многогранной самораспространяющейся структурой. .

StripedFly мог заразить более миллиона систем

Вредоносная среда StripedFly стала известна после ее обнаружения исследователями, которые определили ее присутствие в процессе WININIT.EXE — законном компоненте ОС Windows, ответственном за запуск различных подсистем.

Углубившись во внедренный код, стало очевидно, что StripedFly инициирует загрузку и выполнение дополнительных файлов, в частности сценариев PowerShell, с законных хостинговых платформ, таких как Bitbucket, GitHub и GitLab. Дальнейший анализ показал, что вредоносное ПО, скорее всего, проникло в устройства посредством специального использования уязвимости EternalBlue SMBv1, в первую очередь нацеленного на компьютеры, подключенные к Интернету.

Последняя полезная нагрузка StripedFly под названием «system.img» включает в себя собственный облегченный сетевой клиент TOR для защиты сетевых коммуникаций от перехвата. Он также обладает возможностью деактивировать протокол SMBv1 и распространяться на другие устройства Windows и Linux в сети с помощью SSH и EternalBlue. Сервер управления (C2, C&C) для StripedFly работает в сети TOR, поддерживая связь посредством частых сообщений маяка, содержащих уникальный идентификатор жертвы.

Чтобы обеспечить постоянство в системах Windows, StripedFly адаптирует свой подход в зависимости от уровня привилегий и наличия PowerShell. При отсутствии PowerShell он создает скрытый файл в каталоге %APPDATA%. Когда PowerShell доступен, вредоносная программа выполняет сценарии для создания запланированных задач или изменения ключей реестра Windows.

В Linux StripedFly использует прозвище «sd-pam». Сохранение на этой платформе достигается за счет служб systemd, автоматического запуска файлов .desktop или путем изменения различных файлов профиля и запуска, включая файлы /etc/rc*, Profile, bashrc или inittab.

Данные из репозитория Bitbucket, ответственного за доставку полезной нагрузки финального этапа в системы Windows, показывают, что в период с апреля 2023 года по сентябрь 2023 года StripedFly было заражено почти 60 000 систем. Однако, по оценкам исследователей, общее количество устройств, затронутых инфраструктурой StripedFly, может превысить один миллион.

Во вредоносном ПО StripedFly обнаружено множество специализированных модулей

Вредоносное ПО спроектировано как единый автономный двоичный исполняемый файл с адаптируемыми модулями, что обеспечивает ему эксплуатационную гибкость, обычно связанную с операциями Advanced Persistent Threat (APT):

• • Хранилище конфигурации: этот модуль надежно хранит зашифрованную конфигурацию вредоносного ПО.

• • Обновление/удаление: отвечает за управление обновлениями или удалением на основе команд, полученных от сервера управления и контроля (C2).

• • Обратный прокси: позволяет выполнять удаленные действия внутри сети жертвы.

• • Обработчик различных команд: выполняет различные команды, включая создание снимков экрана и запуск шелл-кода.

• • Credential Harvester: сканирует и извлекает конфиденциальные пользовательские данные, такие как пароли и имена пользователей.

• • Повторяемые задачи: выполняет определенные задачи в заранее определенных условиях, например запись звука с микрофона.

• • Модуль разведки: отправляет полную системную информацию на сервер C2.

• • SSH-инфектор: использует собранные учетные данные SSH для проникновения в другие системы.

• • Инфектор SMBv1: распространяется на другие системы Windows, используя специальную уязвимость EternalBlue.

• • Модуль майнинга Monero: добывает криптовалюту Monero, маскируясь под процесс «chrome.exe».

Включение модуля майнера криптовалюты Monero рассматривается как попытка отвлечь внимание, поскольку основные цели злоумышленников вращаются вокруг кражи данных и эксплуатации системы, чему способствуют другие модули.