Zlonamerna programska oprema StripedFly

Strokovnjaki za kibernetsko varnost so odkrili izjemno napredno različico zlonamerne programske opreme, imenovano StripedFly, ki je skupnost infosec prej ni poznala. Ta zlonamerna programska oprema je pokazala globalni vpliv, cilja in prizadene več kot milijon žrtev od vsaj leta 2017. Sprva prikrita kot orodje za rudarjenje kriptovalut, se je izkazalo, da je zapletena in vsestranska zlonamerna programska oprema, ki vsebuje večplastno ogrodje, ki se samo razmnožuje. .

StripedFly je morda okužil več kot milijon sistemov

Ogrodje zlonamerne programske opreme StripedFly je prišlo na dan, potem ko so ga odkrili raziskovalci, ki so prepoznali njegovo prisotnost v procesu WININIT.EXE, legitimni komponenti operacijskega sistema Windows, ki je odgovorna za zagon različnih podsistemov.

Ko smo se poglobili v vstavljeno kodo, je postalo očitno, da StripedFly sproži prenos in izvajanje dodatnih datotek, zlasti skriptov PowerShell, z zakonitih gostiteljskih platform, kot so Bitbucket, GitHub in GitLab. Nadaljnja analiza je pokazala, da se je zlonamerna programska oprema verjetno infiltrirala v naprave s prilagojenim izkoriščanjem ranljivosti EternalBlue SMBv1, pri čemer je bila usmerjena predvsem na računalnike, izpostavljene internetu.

Končna koristna vsebina StripedFly, imenovana 'system.img', vključuje lastniškega lahkega omrežnega odjemalca TOR za zaščito njegove omrežne komunikacije pred prestrezanjem. Prav tako ima zmožnost deaktiviranja protokola SMBv1 in se širi na druge naprave Windows in Linux v omrežju s pomočjo SSH in EternalBlue. Strežnik za ukazovanje in nadzor (C2, C&C) za StripedFly deluje v omrežju TOR in vzdržuje komunikacijo prek pogostih svetilnih sporočil, ki vsebujejo edinstven ID žrtve.

Za vzpostavitev obstojnosti v sistemih Windows StripedFly prilagodi svoj pristop glede na raven privilegijev in prisotnost PowerShell. Če lupine PowerShell ni, ustvari skrito datoteko v imeniku %APPDATA%. Ko je PowerShell na voljo, zlonamerna programska oprema izvaja skripte za ustvarjanje načrtovanih nalog ali spreminjanje ključev registra Windows.

V sistemu Linux StripedFly uporablja vzdevek 'sd-pam'. Vztrajnost na tej platformi je dosežena s storitvami systemd, samodejnim zagonom datotek .desktop ali s spreminjanjem različnih profilnih in zagonskih datotek, vključno z datotekami /etc/rc*, profile, bashrc ali inittab.

Podatki iz repozitorija Bitbucket, odgovornega za dostavo koristnega tovora končne stopnje v sisteme Windows, kažejo, da je bilo med aprilom 2023 in septembrom 2023 s StripedFly okuženih skoraj 60.000 sistemov. Vendar pa raziskovalci ocenjujejo, da lahko skupno število naprav, na katere vpliva okvir StripedFly, preseže milijon.

Številni specializirani moduli, najdeni v zlonamerni programski opremi StripedFly

Zlonamerna programska oprema je zasnovana kot ena samostojna binarna izvedljiva datoteka s prilagodljivimi moduli, ki ji zagotavljajo operativno prilagodljivost, ki je običajno povezana z operacijami napredne trajne grožnje (APT):

• • Shranjevanje konfiguracije: Ta modul varno shranjuje konfiguracijo šifrirane zlonamerne programske opreme.

• • Nadgradnja/odstranitev: odgovoren za upravljanje posodobitev ali odstranitev na podlagi ukazov, prejetih s strežnika Command-and-Control (C2).

• • Reverse Proxy: Omogoča oddaljena dejanja v omrežju žrtve.

• • Razni upravljalnik ukazov: Izvaja različne ukaze, vključno z zajemanjem posnetkov zaslona in izvajanjem ukazne kode.

• • Credential Harvester: skenira in pridobi občutljive uporabniške podatke, kot so gesla in uporabniška imena.

• • Ponovljive naloge: Izvaja posebne naloge pod vnaprej določenimi pogoji, kot je snemanje zvoka iz mikrofona.

• • Modul Recon: pošilja izčrpne sistemske informacije strežniku C2.

• • SSH Infector: uporablja zbrane poverilnice SSH za infiltracijo v druge sisteme.

• • SMBv1 Infector: širi se na druge sisteme Windows z izkoriščanjem ranljivosti EternalBlue po meri.

• • Modul za rudarjenje Monero: rudari kriptovaluto Monero in se prikrije kot proces »chrome.exe«.

Vključitev modula za rudarjenje kriptovalut Monero se razume kot poskus preusmerjanja pozornosti, saj se glavni cilji akterjev groženj vrtijo okoli kraje podatkov in izkoriščanja sistema, ki ga omogočajo drugi moduli.