StripedFly Malware

சைபர் செக்யூரிட்டி வல்லுநர்கள் ஸ்ட்ரைப்ட் ஃப்ளை எனப்படும் தீம்பொருளின் விதிவிலக்கான மேம்பட்ட வகையைக் கண்டுபிடித்துள்ளனர், இது முன்னர் இன்ஃபோசெக் சமூகத்திற்குத் தெரியாது. இந்த தீம்பொருள் உலகளாவிய தாக்கத்தை நிரூபித்துள்ளது, குறைந்தது 2017 முதல் ஒரு மில்லியனுக்கும் அதிகமான பாதிக்கப்பட்டவர்களை குறிவைத்து பாதித்துள்ளது. ஆரம்பத்தில் கிரிப்டோகரன்சி சுரங்க கருவியாக மாறுவேடமிட்டு, இது ஒரு சிக்கலான மற்றும் பல்துறை மால்வேர் என தெரியவந்துள்ளது. .

ஸ்ட்ரைப்ப்ளை ஒரு மில்லியனுக்கும் அதிகமான அமைப்புகளை பாதித்திருக்கலாம்

StripedFly மால்வேர் கட்டமைப்பானது ஆராய்ச்சியாளர்களால் கண்டறியப்பட்டதைத் தொடர்ந்து வெளிச்சத்திற்கு வந்தது, அவர்கள் WININIT.EXE செயல்பாட்டில் அதன் இருப்பை அடையாளம் கண்டனர், இது பல்வேறு துணை அமைப்புகளைத் தொடங்குவதற்குப் பொறுப்பான Windows OS இன் சட்டபூர்வமான அங்கமாகும்.

உட்செலுத்தப்பட்ட குறியீட்டை ஆராய்ந்ததில், StripedFly ஆனது Bitbucket, GitHub மற்றும் GitLab போன்ற முறையான ஹோஸ்டிங் தளங்களில் இருந்து கூடுதல் கோப்புகளை, குறிப்பாக பவர்ஷெல் ஸ்கிரிப்ட்களை பதிவிறக்கம் செய்து செயல்படுத்துகிறது என்பது தெளிவாகியது. மேலும் பகுப்பாய்வில், EternalBlue SMBv1 பாதிப்பின் தனிப்பயனாக்கப்பட்ட சுரண்டலின் மூலம் தீம்பொருள் சாதனங்களுக்குள் ஊடுருவியிருக்கலாம், முதன்மையாக இணையத்தில் வெளிப்படும் கணினிகளை குறிவைக்கிறது.

'system.img' என பெயரிடப்பட்ட இறுதி ஸ்ட்ரைப்ப்ளை பேலோட், அதன் நெட்வொர்க் தகவல்தொடர்புகளை இடைமறிப்பதில் இருந்து பாதுகாக்க தனியுரிம இலகுரக TOR நெட்வொர்க் கிளையண்டை உள்ளடக்கியது. இது SMBv1 நெறிமுறையை செயலிழக்கச் செய்து, SSH மற்றும் EternalBlue ஐப் பயன்படுத்தி நெட்வொர்க்கில் உள்ள பிற விண்டோஸ் மற்றும் லினக்ஸ் சாதனங்களுக்கு தன்னைப் பரப்பும் திறனையும் கொண்டுள்ளது. ஸ்ட்ரைப்ப்ளைக்கான கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகம் TOR நெட்வொர்க்கிற்குள் இயங்குகிறது, ஒரு தனிப்பட்ட பாதிக்கப்பட்ட ஐடியைக் கொண்ட அடிக்கடி பீக்கான் செய்திகள் மூலம் தொடர்பைப் பராமரிக்கிறது.

விண்டோஸ் சிஸ்டங்களில் நிலைத்தன்மையை நிலைநிறுத்த, StripedFly அதன் அணுகுமுறையை சலுகை நிலை மற்றும் PowerShell இன் இருப்பு ஆகியவற்றின் அடிப்படையில் மாற்றியமைக்கிறது. பவர்ஷெல் இல்லாத நிலையில், அது %APPDATA% கோப்பகத்தில் ஒரு மறைக்கப்பட்ட கோப்பை உருவாக்குகிறது. பவர்ஷெல் கிடைக்கும்போது, திட்டமிடப்பட்ட பணிகளை உருவாக்க அல்லது விண்டோஸ் ரெஜிஸ்ட்ரி விசைகளை மாற்ற தீம்பொருள் ஸ்கிரிப்ட்களை இயக்குகிறது.

லினக்ஸில், ஸ்ட்ரிப்ட்ஃப்ளை 'எஸ்டி-பாம்' என்ற பெயரினை ஏற்றுக்கொள்கிறது. systemd சேவைகள், .desktop கோப்புகளைத் தானாகத் தொடங்குதல் அல்லது /etc/rc*, profile, bashrc அல்லது inittab கோப்புகள் உட்பட பல்வேறு சுயவிவரம் மற்றும் தொடக்கக் கோப்புகளை மாற்றுவதன் மூலம் இந்த இயங்குதளத்தில் நிலைத்தன்மை அடையப்படுகிறது.

விண்டோஸ் சிஸ்டங்களுக்கு இறுதி கட்ட பேலோடை வழங்குவதற்கு பொறுப்பான பிட்பக்கெட் களஞ்சியத்தின் தரவு, ஏப்ரல் 2023 மற்றும் செப்டம்பர் 2023 க்கு இடையில், கிட்டத்தட்ட 60,000 சிஸ்டங்கள் ஸ்ட்ரைப் ஃப்ளையால் பாதிக்கப்பட்டுள்ளதாக தெரிவிக்கிறது. இருப்பினும், StripedFly கட்டமைப்பால் பாதிக்கப்பட்ட மொத்த சாதனங்களின் எண்ணிக்கை ஒரு மில்லியனுக்கும் அதிகமாக இருக்கலாம் என்று ஆராய்ச்சியாளர்கள் மதிப்பிடுகின்றனர்.

ஸ்ட்ரைப் ஃப்ளை மால்வேரில் ஏராளமான சிறப்புத் தொகுதிகள் காணப்படுகின்றன

மால்வேர் தனித்தனியாக, தன்னிச்சையான பைனரி இயங்கக்கூடியதாக மாற்றியமைக்கக்கூடிய தொகுதிக்கூறுகளுடன் வடிவமைக்கப்பட்டுள்ளது, இது பொதுவாக மேம்பட்ட நிலையான அச்சுறுத்தல் (APT) செயல்பாடுகளுடன் தொடர்புடைய செயல்பாட்டு நெகிழ்வுத்தன்மையை வழங்குகிறது:

• • உள்ளமைவு சேமிப்பு: இந்த தொகுதி மறைகுறியாக்கப்பட்ட தீம்பொருள் உள்ளமைவை பாதுகாப்பாக சேமிக்கிறது.

• • மேம்படுத்துதல்/நிறுவல் நீக்குதல்: கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திலிருந்து பெறப்பட்ட கட்டளைகளின் அடிப்படையில் புதுப்பிப்புகளை நிர்வகித்தல் அல்லது அகற்றுதல் பொறுப்பு.

• • ரிவர்ஸ் ப்ராக்ஸி: பாதிக்கப்பட்டவரின் நெட்வொர்க்கில் தொலை செயல்களை இயக்குகிறது.

• • இதர கட்டளை கையாளுபவர்: ஸ்கிரீன் ஷாட்களைப் படம்பிடித்தல் மற்றும் ஷெல்கோடு இயக்குதல் உள்ளிட்ட பல்வேறு கட்டளைகளை செயல்படுத்துகிறது.

• • நற்சான்றிதழ் ஹார்வெஸ்டர்: கடவுச்சொற்கள் மற்றும் பயனர்பெயர்கள் போன்ற முக்கியமான பயனர் தரவை ஸ்கேன் செய்து மீட்டெடுக்கிறது.

• • மீண்டும் மீண்டும் செய்யக்கூடிய பணிகள்: மைக்ரோஃபோனில் இருந்து ஆடியோவைப் பதிவு செய்தல் போன்ற முன் வரையறுக்கப்பட்ட நிபந்தனைகளின் கீழ் குறிப்பிட்ட பணிகளைச் செய்கிறது.

• • Recon Module: C2 சேவையகத்திற்கு விரிவான கணினி தகவலை அனுப்புகிறது.

• • SSH இன்ஃபெக்டர்: அறுவடை செய்யப்பட்ட SSH நற்சான்றிதழ்களை மற்ற அமைப்புகளில் ஊடுருவப் பயன்படுத்துகிறது.

• • SMBv1 இன்ஃபெக்டர்: தனிப்பயன் EternalBlue பாதிப்பைப் பயன்படுத்தி மற்ற விண்டோஸ் சிஸ்டங்களுக்குப் பரவுகிறது.

• • Monero Mining Module: Mines Monero Cryptocurrency, ஒரு "chrome.exe" செயல்முறையாக மாறுவேடமிடுகிறது.

மோனெரோ கிரிப்டோகரன்சி மைனர் தொகுதியைச் சேர்ப்பது கவனத்தைத் திசைதிருப்பும் முயற்சியாகக் கருதப்படுகிறது, ஏனெனில் அச்சுறுத்தல் நடிகர்களின் முதன்மை நோக்கங்கள் தரவுத் திருட்டு மற்றும் கணினிச் சுரண்டலைச் சுற்றி, மற்ற தொகுதிகள் மூலம் எளிதாக்கப்படுகின்றன.