StripedFly Malware

Odborníci na kybernetickú bezpečnosť objavili mimoriadne pokročilý kmeň malvéru s názvom StripedFly, ktorý komunita infosec predtým nepoznala. Tento malvér preukázal globálny vplyv, pričom sa zameriava na viac ako jeden milión obetí a postihuje ich prinajmenšom od roku 2017. Pôvodne zamaskovaný ako nástroj na ťažbu kryptomien sa ukázalo, že ide o komplexný a všestranný malvér s mnohostranným, samostatne sa šíriacim rámcom. .

StripedFly môže infikovať viac ako milión systémov

Malvérový rámec StripedFly sa objavil po jeho odhalení výskumníkmi, ktorí identifikovali jeho prítomnosť v procese WININIT.EXE, legitímnej súčasti operačného systému Windows, ktorá je zodpovedná za spustenie rôznych podsystémov.

Po ponorení sa do vloženého kódu sa ukázalo, že StripedFly iniciuje sťahovanie a spúšťanie ďalších súborov, najmä skriptov PowerShell, z legitímnych hostiteľských platforiem, ako sú Bitbucket, GitHub a GitLab. Ďalšia analýza odhalila, že malvér pravdepodobne infiltroval zariadenia prostredníctvom prispôsobeného zneužitia zraniteľnosti EternalBlue SMBv1, pričom sa primárne zameriaval na počítače vystavené internetu.

Konečná užitočná časť StripedFly s názvom 'system.img' obsahuje proprietárneho ľahkého sieťového klienta TOR na ochranu sieťovej komunikácie pred odpočúvaním. Má tiež schopnosť deaktivovať protokol SMBv1 a šíriť sa do iných zariadení so systémom Windows a Linux v sieti pomocou SSH a EternalBlue. Server Command-and-Control (C2, C&C) pre StripedFly funguje v rámci siete TOR a udržiava komunikáciu prostredníctvom častých majákových správ obsahujúcich jedinečné ID obete.

Na zabezpečenie pretrvávania v systémoch Windows StripedFly prispôsobuje svoj prístup na základe úrovne privilégií a prítomnosti PowerShell. V neprítomnosti PowerShell vygeneruje skrytý súbor v adresári %APPDATA%. Keď je PowerShell k dispozícii, malvér spúšťa skripty na vytváranie naplánovaných úloh alebo zmenu kľúčov databázy Registry systému Windows.

V systéme Linux StripedFly používa prezývku „sd-pam“. Pretrvávanie na tejto platforme sa dosahuje prostredníctvom služieb systemd, automaticky spúšťaných súborov .desktop alebo úpravou rôznych profilových a spúšťacích súborov vrátane súborov /etc/rc*, profile, bashrc alebo inittab.

Údaje z úložiska Bitbucket zodpovedného za dodanie poslednej fázy užitočného zaťaženia do systémov Windows naznačujú, že od apríla 2023 do septembra 2023 bolo StripedFly infikovaných takmer 60 000 systémov. Vedci však odhadujú, že celkový počet zariadení ovplyvnených rámcom StripedFly môže presiahnuť jeden milión.

V malvéri StripedFly sa nachádza množstvo špecializovaných modulov

Malvér je navrhnutý ako jeden samostatný binárny spustiteľný súbor s prispôsobiteľnými modulmi, ktoré mu poskytujú operačnú flexibilitu, ktorá sa zvyčajne spája s operáciami APT (Advanced Persistent Threat):

• Úložisko konfigurácie: Tento modul bezpečne ukladá zašifrovanú konfiguráciu škodlivého softvéru.
• Upgrade/Uninstall: Zodpovedá za správu aktualizácií alebo odstránenia na základe príkazov prijatých zo servera Command-and-Control (C2).
• Reverse Proxy: Umožňuje vzdialené akcie v rámci siete obete.
• Miscellaneous Command Handler: Vykonáva rôzne príkazy, vrátane snímania snímok obrazovky a spúšťania shell kódu.
• Credential Harvester: Skenuje a získava citlivé používateľské údaje, ako sú heslá a používateľské mená.
• Opakovateľné úlohy: Vykonáva špecifické úlohy za vopred definovaných podmienok, ako je nahrávanie zvuku z mikrofónu.
• Recon Module: Posiela komplexné systémové informácie na server C2.
• SSH Infector: Využíva zozbierané SSH poverenia na infiltráciu do iných systémov.
• SMBv1 Infector: Rozšíri sa do iných systémov Windows využívaním vlastnej zraniteľnosti EternalBlue.
• Modul ťažby Monero: Ťaží kryptomenu Monero, ktorá sa maskuje ako proces „chrome.exe“.

Začlenenie modulu na ťažbu kryptomien Monero sa považuje za pokus odvrátiť pozornosť, pretože primárne ciele aktérov hrozieb sa točia okolo krádeže údajov a zneužívania systému, ktoré uľahčujú ostatné moduly.