Mga Multi-Lisensya na Diskwento
Threat Database Malware StripedFly Malware

StripedFly Malware

Sa pamamagitan ng Mezo sa Malware, Stealers
Isalin To:
Wikang Filipino

Natuklasan ng mga dalubhasa sa cybersecurity ang isang pambihirang advanced na strain ng malware na tinatawag na StripedFly, na dati ay hindi kilala sa komunidad ng infosec. Ang malware na ito ay nagpakita ng isang pandaigdigang epekto, nagta-target at nakakaapekto sa higit sa isang milyong biktima mula noong hindi bababa sa 2017. Sa simula ay itinago bilang isang tool sa pagmimina ng cryptocurrency, ito ay nahayag na isang kumplikado at maraming nalalaman na malware na nagtatampok ng isang multi-faceted, self-propagating framework .

Maaaring Nahawaan ng StripedFly ang Mahigit Isang Milyong Sistema

Lumitaw ang StripedFly malware framework kasunod ng pagtuklas nito ng mga mananaliksik, na natukoy ang presensya nito sa proseso ng WININIT.EXE, isang lehitimong bahagi ng Windows OS na responsable sa pagsisimula ng iba't ibang subsystem.

Sa pag-usisa sa ini-inject na code, naging maliwanag na ang StripedFly ay nagpasimula ng pag-download at pagpapatupad ng mga karagdagang file, lalo na ang mga PowerShell script, mula sa mga lehitimong platform ng pagho-host gaya ng Bitbucket, GitHub, at GitLab. Ang karagdagang pagsusuri ay nagsiwalat na ang malware ay malamang na nakapasok sa mga device sa pamamagitan ng isang customized na pagsasamantala ng EternalBlue SMBv1 na kahinaan, pangunahin ang pag-target sa mga computer na nakalantad sa internet.

Ang panghuling StripedFly payload, na pinangalanang 'system.img,' ay may kasamang proprietary lightweight TOR network client upang pangalagaan ang mga komunikasyon sa network nito mula sa pagharang. Nagtataglay din ito ng kakayahang i-deactivate ang SMBv1 protocol at ipalaganap ang sarili nito sa iba pang Windows at Linux device sa network gamit ang SSH at EternalBlue. Ang Command-and-Control (C2, C&C) server para sa StripedFly ay gumagana sa loob ng TOR network, na nagpapanatili ng komunikasyon sa pamamagitan ng madalas na mga beacon na mensahe na naglalaman ng natatanging victim ID.

Upang magtatag ng pagpupursige sa mga sistema ng Windows, iniangkop ng StripedFly ang diskarte nito batay sa antas ng pribilehiyo at pagkakaroon ng PowerShell. Sa kawalan ng PowerShell, bumubuo ito ng isang nakatagong file sa direktoryo ng %APPDATA%. Kapag available ang PowerShell, nagsasagawa ang malware ng mga script para gumawa ng mga naka-iskedyul na gawain o baguhin ang mga key ng Windows Registry.

Sa Linux, ginagamit ng StripedFly ang moniker na 'sd-pam.' Ang pagtitiyaga sa platform na ito ay nakakamit sa pamamagitan ng mga serbisyo ng system, awtomatikong pagsisimula ng mga .desktop na file, o sa pamamagitan ng pagbabago ng iba't ibang profile at mga startup na file, kabilang ang /etc/rc*, profile, bashrc, o inittab na mga file.

Ang data mula sa Bitbucket repository na responsable para sa paghahatid ng final stage payload sa mga Windows system ay nagmumungkahi na sa pagitan ng Abril 2023 at Setyembre 2023, halos 60,000 system ang nahawahan ng StripedFly. Gayunpaman, tinatantya ng mga mananaliksik na ang kabuuang bilang ng mga device na apektado ng StripedFly framework ay maaaring lumampas sa isang milyon.

Maraming Specialized Module ang Natagpuan Sa StripedFly Malware

Ang malware ay idinisenyo bilang isang solong, self-contained binary executable na may mga adaptable na module, na nagbibigay dito ng operational flexibility na karaniwang nauugnay sa Advanced Persistent Threat (APT) operations:

  • Imbakan ng Configuration: Ligtas na iniimbak ng module na ito ang naka-encrypt na configuration ng malware.
  • Mag-upgrade/Mag-uninstall: Responsable para sa pamamahala ng mga update o pag-alis batay sa mga command na natanggap mula sa Command-and-Control (C2) server.
  • Reverse Proxy: Pinapagana ang mga malayuang aksyon sa loob ng network ng biktima.
  • Miscellaneous Command Handler: Nagsasagawa ng iba't ibang command, kabilang ang pagkuha ng mga screenshot at pagpapatakbo ng shellcode.
  • Credential Harvester: Ini-scan at kinukuha ang sensitibong data ng user tulad ng mga password at username.
  • Mga Nauulit na Gawain: Nagsasagawa ng mga partikular na gawain sa ilalim ng mga paunang natukoy na kundisyon, gaya ng pagre-record ng audio mula sa mikropono.
  • Recon Module: Nagpapadala ng komprehensibong impormasyon ng system sa C2 server.
  • SSH Infector: Gumagamit ng mga na-harvest na kredensyal ng SSH para makalusot sa ibang mga system.
  • SMBv1 Infector: Kumakalat sa iba pang mga Windows system sa pamamagitan ng pagsasamantala sa isang custom na kahinaan ng EternalBlue.
  • Monero Mining Module: Mines Monero cryptocurrency, na nagpapakilala sa sarili bilang isang "chrome.exe" na proseso.

Ang pagsasama ng module ng Monero cryptocurrency miner ay tinitingnan bilang isang pagtatangka na ilihis ang atensyon, dahil ang mga pangunahing layunin ng mga aktor ng pagbabanta ay umiikot sa pagnanakaw ng data at pagsasamantala ng system, na pinadali ng iba pang mga module.

Trending

Pinaka Nanood

Naglo-load...