StripedFly Malware

Стручњаци за сајбер безбедност открили су изузетно напредни сој малвера под називом СтрипедФли, који је раније био непознат заједници инфосец. Овај малвер је показао глобални утицај, циљајући и погађајући више од милион жртава од најмање 2017. У почетку замаскиран као алатка за рударење криптовалута, откривено је да је сложен и свестран малвер са вишеслојним оквиром који се само шири .

СтрипедФли је можда заразио преко милион система

Оквир злонамерног софтвера СтрипедФли изашао је на видело након што су га открили истраживачи, који су идентификовали његово присуство у процесу ВИНИНИТ.ЕКСЕ, легитимној компоненти Виндовс ОС-а одговорног за покретање различитих подсистема.

Након удубљења у убачени код, постало је очигледно да СтрипедФли покреће преузимање и извршавање додатних датотека, посебно ПоверСхелл скрипти, са легитимних платформи за хостовање као што су Битбуцкет, ГитХуб и ГитЛаб. Даља анализа је открила да се злонамерни софтвер вероватно инфилтрирао у уређаје кроз прилагођено коришћење рањивости ЕтерналБлуе СМБв1, првенствено циљајући рачунаре изложене интернету.

Коначни СтрипедФли корисни терет, назван 'систем.имг', укључује власнички лагани ТОР мрежни клијент који штити мрежне комуникације од пресретања. Такође поседује могућност да деактивира СМБв1 протокол и да се шири на друге Виндовс и Линук уређаје на мрежи користећи ССХ и ЕтерналБлуе. Цомманд-анд-Цонтрол (Ц2, Ц&Ц) сервер за СтрипедФли ради у оквиру ТОР мреже, одржавајући комуникацију путем честих беацон порука које садрже јединствени ИД жртве.

Да би успоставио постојаност на Виндовс системима, СтрипедФли прилагођава свој приступ на основу нивоа привилегија и присуства ПоверСхелл-а. У недостатку ПоверСхелл-а, генерише скривену датотеку у директоријуму %АППДАТА%. Када је ПоверСхелл доступан, злонамерни софтвер извршава скрипте за креирање заказаних задатака или измену кључева Виндовс Регистри.

На Линук-у, СтрипедФли усваја надимак 'сд-пам'. Постојаност на овој платформи се постиже кроз системске услуге, аутоматско покретање .десктоп датотека или модификовање различитих датотека профила и покретања, укључујући /етц/рц*, профиле, басхрц или иниттаб датотеке.

Подаци из Битбуцкет спремишта одговорног за испоруку завршне фазе корисног оптерећења Виндовс системима сугеришу да је између априла 2023. и септембра 2023. скоро 60.000 система заражено СтрипедФли-ом. Међутим, истраживачи процењују да укупан број уређаја на које утиче СтрипедФли оквир може премашити милион.

Бројни специјализовани модули пронађени у злонамерном софтверу СтрипедФли

Малвер је дизајниран као једна, самостална бинарна извршна датотека са прилагодљивим модулима, пружајући му оперативну флексибилност која се обично повезује са операцијама напредне трајне претње (АПТ):

• • Складиштење конфигурације: Овај модул безбедно чува шифровану конфигурацију злонамерног софтвера.

• • Надоградња/деинсталирање: Одговоран је за управљање ажурирањима или уклањањем на основу команди примљених са сервера за команду и контролу (Ц2).

• • Обрнути прокси: Омогућава даљинске акције унутар мреже жртве.

• • Руковалац разним командама: Извршава различите команде, укључујући снимање снимака екрана и покретање схелл кода.

• • Цредентиал Харвестер: скенира и преузима осетљиве корисничке податке као што су лозинке и корисничка имена.

• • Поновљиви задаци: Обавља одређене задатке под унапред дефинисаним условима, као што је снимање звука са микрофона.

• • Рецон Модуле: Шаље свеобухватне системске информације на Ц2 сервер.

• • ССХ Инфецтор: Користи прикупљене ССХ акредитиве за инфилтрирање у друге системе.

• • СМБв1 Инфецтор: Шири се на друге Виндовс системе искоришћавањем прилагођене ЕтерналБлуе рањивости.

• • Модул за рударење Монеро: рудари Монеро криптовалуту, прикривајући се као „цхроме.еке“ процес.

Укључивање модула за рударење криптовалуте Монеро се посматра као покушај да се скрене пажња, јер се примарни циљеви актера претњи врте око крађе података и експлоатације система, уз помоћ других модула.