มัลแวร์ StripedFly

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบสายพันธุ์มัลแวร์ขั้นสูงที่เรียกว่า StripedFly ซึ่งก่อนหน้านี้ไม่รู้จักในชุมชน infosec มัลแวร์นี้แสดงให้เห็นถึงผลกระทบทั่วโลก โดยกำหนดเป้าหมายและส่งผลกระทบต่อเหยื่อมากกว่าหนึ่งล้านรายนับตั้งแต่อย่างน้อยปี 2560 ในตอนแรกปลอมแปลงเป็นเครื่องมือขุดเหมืองสกุลเงินดิจิทัล ได้รับการเปิดเผยว่าเป็นมัลแวร์ที่ซับซ้อนและหลากหลายซึ่งมีเฟรมเวิร์กที่แพร่กระจายได้หลายแง่มุมและแพร่กระจายได้เอง .

StripedFly อาจติดเชื้อมากกว่าหนึ่งล้านระบบ

เฟรมเวิร์กมัลแวร์ StripedFly ปรากฏขึ้นหลังจากการตรวจจับโดยนักวิจัย ซึ่งระบุว่ามีอยู่ในกระบวนการ WININIT.EXE ซึ่งเป็นส่วนประกอบที่ถูกต้องตามกฎหมายของระบบปฏิบัติการ Windows ที่รับผิดชอบในการเริ่มต้นระบบย่อยต่างๆ

เมื่อเจาะลึกโค้ดที่แทรกเข้าไป เห็นได้ชัดว่า StripedFly เริ่มต้นการดาวน์โหลดและเรียกใช้ไฟล์เพิ่มเติม โดยเฉพาะสคริปต์ PowerShell จากแพลตฟอร์มโฮสติ้งที่ถูกต้องตามกฎหมาย เช่น Bitbucket, GitHub และ GitLab การวิเคราะห์เพิ่มเติมเผยให้เห็นว่ามัลแวร์มีแนวโน้มที่จะแทรกซึมเข้าไปในอุปกรณ์ผ่านการใช้ประโยชน์จากช่องโหว่ EternalBlue SMBv1 แบบกำหนดเอง โดยกำหนดเป้าหมายไปที่คอมพิวเตอร์ที่เข้าถึงอินเทอร์เน็ตเป็นหลัก

เพย์โหลด StripedFly สุดท้ายที่มีชื่อว่า 'system.img' ประกอบด้วยไคลเอนต์เครือข่าย TOR น้ำหนักเบาที่เป็นเอกสิทธิ์เฉพาะ เพื่อปกป้องการสื่อสารเครือข่ายจากการสกัดกั้น นอกจากนี้ยังมีความสามารถในการปิดใช้งานโปรโตคอล SMBv1 และเผยแพร่ตัวเองไปยังอุปกรณ์ Windows และ Linux อื่น ๆ บนเครือข่ายโดยใช้ SSH และ EternalBlue เซิร์ฟเวอร์ Command-and-Control (C2, C&C) สำหรับ StripedFly ทำงานภายในเครือข่าย TOR โดยรักษาการสื่อสารผ่านข้อความบีคอนที่ใช้บ่อยซึ่งมี ID เหยื่อที่ไม่ซ้ำกัน

เพื่อสร้างความคงอยู่ในระบบ Windows StripedFly จะปรับแนวทางตามระดับสิทธิ์และการมีอยู่ของ PowerShell ในกรณีที่ไม่มี PowerShell ระบบจะสร้างไฟล์ที่ซ่อนอยู่ในไดเร็กทอรี %APPDATA% เมื่อ PowerShell พร้อมใช้งาน มัลแวร์จะรันสคริปต์เพื่อสร้างงานที่กำหนดเวลาไว้หรือแก้ไขคีย์รีจิสทรีของ Windows

บน Linux นั้น StripedFly ใช้ชื่อเล่นว่า 'sd-pam' ความคงอยู่บนแพลตฟอร์มนี้ทำได้ผ่านบริการ systemd การเริ่มไฟล์ .desktop อัตโนมัติ หรือโดยการแก้ไขโปรไฟล์และไฟล์เริ่มต้นต่างๆ รวมถึงไฟล์ /etc/rc*, โปรไฟล์, bashrc หรือ inittab

ข้อมูลจากพื้นที่เก็บข้อมูล Bitbucket ที่รับผิดชอบในการส่งมอบเพย์โหลดขั้นตอนสุดท้ายไปยังระบบ Windows ชี้ให้เห็นว่าระหว่างเดือนเมษายน 2566 ถึงกันยายน 2566 มีการติดตั้ง StripedFly เกือบ 60,000 ระบบ อย่างไรก็ตาม นักวิจัยคาดการณ์ว่าจำนวนอุปกรณ์ทั้งหมดที่ได้รับผลกระทบจากเฟรมเวิร์ก StripedFly อาจเกินหนึ่งล้านเครื่อง

โมดูลเฉพาะทางจำนวนมากที่พบในมัลแวร์ StripedFly

มัลแวร์ได้รับการออกแบบให้เป็นไฟล์ปฏิบัติการไบนารี่ในตัวเองพร้อมโมดูลที่ปรับเปลี่ยนได้ โดยให้ความยืดหยุ่นในการปฏิบัติงานซึ่งโดยทั่วไปเกี่ยวข้องกับการดำเนินการ Advanced Persistent Threat (APT):

• การจัดเก็บการกำหนดค่า: โมดูลนี้จะจัดเก็บการกำหนดค่ามัลแวร์ที่เข้ารหัสไว้อย่างปลอดภัย
• อัปเกรด/ถอนการติดตั้ง: รับผิดชอบในการจัดการการอัปเดตหรือการลบตามคำสั่งที่ได้รับจากเซิร์ฟเวอร์ Command-and-Control (C2)
• Reverse Proxy: เปิดใช้งานการดำเนินการระยะไกลภายในเครือข่ายของเหยื่อ
• ตัวจัดการคำสั่งเบ็ดเตล็ด: ดำเนินการคำสั่งต่าง ๆ รวมถึงการจับภาพหน้าจอและการรันเชลล์โค้ด
• Credential Harvester: สแกนและดึงข้อมูลผู้ใช้ที่ละเอียดอ่อน เช่น รหัสผ่านและชื่อผู้ใช้
• งานที่ทำซ้ำได้: ทำงานเฉพาะภายใต้เงื่อนไขที่กำหนดไว้ล่วงหน้า เช่น การบันทึกเสียงจากไมโครโฟน
• Recon Module: ส่งข้อมูลระบบที่ครอบคลุมไปยังเซิร์ฟเวอร์ C2
• SSH Infector: ใช้ข้อมูลประจำตัว SSH ที่เก็บเกี่ยวมาเพื่อแทรกซึมระบบอื่น ๆ
• SMBv1 Infector: แพร่กระจายไปยังระบบ Windows อื่น ๆ โดยใช้ประโยชน์จากช่องโหว่ EternalBlue แบบกำหนดเอง
• โมดูลการขุด Monero: ขุดสกุลเงินดิจิทัล Monero ซึ่งปลอมตัวเป็นกระบวนการ "chrome.exe"

การรวมโมดูลตัวขุดสกุลเงินดิจิทัล Monero ถูกมองว่าเป็นความพยายามที่จะหันเหความสนใจ เนื่องจากวัตถุประสงค์หลักของผู้คุกคามเกี่ยวข้องกับการขโมยข้อมูลและการใช้ประโยชน์จากระบบ ซึ่งอำนวยความสะดวกโดยโมดูลอื่น ๆ