StripedFly Malware

Cybersäkerhetsexperter har upptäckt en exceptionellt avancerad skadlig stam som heter StripedFly, tidigare okänd för infosec-communityt. Den här skadliga programvaran har visat en global inverkan, riktad mot och påverkat mer än en miljon offer sedan åtminstone 2017. Ursprungligen förklädd som ett verktyg för brytning av kryptovalutor, har det visat sig vara en komplex och mångsidig skadlig programvara med ett mångfacetterat, självspridande ramverk. .

StripedFly kan ha infekterat över en miljon system

Ramverket för skadlig programvara StripedFly kom i dagen efter att det upptäcktes av forskare, som identifierade dess närvaro i WININIT.EXE-processen, en legitim komponent i Windows OS som ansvarar för att initiera olika delsystem.

Efter att ha grävt ner sig i den injicerade koden blev det uppenbart att StripedFly initierar nedladdning och körning av ytterligare filer, särskilt PowerShell-skript, från legitima värdplattformar som Bitbucket, GitHub och GitLab. Ytterligare analys avslöjade att skadlig programvara sannolikt infiltrerade enheter genom en skräddarsydd exploatering av EternalBlue SMBv1-sårbarheten, främst inriktad på internet-exponerade datorer.

Den sista StripedFly-nyttolasten, som heter 'system.img', inkluderar en egenutvecklad lätt TOR-nätverksklient för att skydda dess nätverkskommunikation från avlyssning. Den har också förmågan att avaktivera SMBv1-protokollet och sprida sig till andra Windows- och Linux-enheter i nätverket med hjälp av SSH och EternalBlue. Command-and-Control-servern (C2, C&C) för StripedFly arbetar inom TOR-nätverket och upprätthåller kommunikationen genom frekventa beacon-meddelanden som innehåller ett unikt offer-ID.

För att etablera uthållighet på Windows-system, anpassar StripedFly sitt tillvägagångssätt baserat på privilegienivån och närvaron av PowerShell. I avsaknad av PowerShell genererar den en dold fil i %APPDATA%-katalogen. När PowerShell är tillgängligt kör skadlig programvara skript för att skapa schemalagda uppgifter eller ändra Windows-registernycklar.

På Linux använder StripedFly monikern "sd-pam". Beständighet på denna plattform uppnås genom systemtjänster, automatisk start av .desktop-filer eller genom att modifiera olika profil- och startfiler, inklusive /etc/rc*, profile, bashrc eller inittab-filer.

Data från Bitbucket-förrådet som ansvarar för att leverera slutskedets nyttolast till Windows-system tyder på att mellan april 2023 och september 2023 infekterades nästan 60 000 system av StripedFly. Forskare uppskattar dock att det totala antalet enheter som påverkas av StripedFly-ramverket kan överstiga en miljon.

Många specialiserade moduler hittade i StripedFly Malware

Skadlig programvara är utformad som en enda, fristående binär körbar fil med anpassningsbara moduler, vilket ger den operativ flexibilitet som vanligtvis förknippas med Advanced Persistent Threat (APT)-operationer:

• Konfigurationslagring: Denna modul lagrar den krypterade skadliga konfigurationen på ett säkert sätt.
• Uppgradera/Avinstallera: Ansvarig för hantering av uppdateringar eller borttagning baserat på kommandon som tas emot från Command-and-Control-servern (C2).
• Omvänd proxy: Möjliggör fjärråtgärder inom offrets nätverk.
• Diverse kommandohanterare: Utför olika kommandon, inklusive att ta skärmdumpar och köra skalkod.
• Credential Harvester: Skannar och hämtar känslig användardata som lösenord och användarnamn.
• Upprepningsbara uppgifter: Utför specifika uppgifter under fördefinierade förhållanden, som att spela in ljud från mikrofonen.
• Recon Module: Skickar omfattande systeminformation till C2-servern.
• SSH Infector: Använder skördade SSH-uppgifter för att infiltrera andra system.
• SMBv1 Infector: Sprider sig till andra Windows-system genom att utnyttja en anpassad EternalBlue-sårbarhet.
• Monero Mining Module: Bryt Monero kryptovaluta, förklädd som en "chrome.exe" process.

Inkluderandet av Monero cryptocurrency miner-modulen ses som ett försök att avleda uppmärksamheten, eftersom de primära målen för hotaktörerna kretsar kring datastöld och systemexploatering, vilket underlättas av de andra modulerna.