StripedFly Kötü Amaçlı Yazılım

Siber güvenlik uzmanları, daha önce infosec topluluğu tarafından bilinmeyen, StripedFly adı verilen son derece gelişmiş bir kötü amaçlı yazılım türü keşfetti. Bu kötü amaçlı yazılım, en az 2017'den bu yana bir milyondan fazla kurbanı hedef alıp etkileyerek küresel bir etki gösterdi. Başlangıçta bir kripto para madenciliği aracı olarak gizlenen bu kötü amaçlı yazılımın, çok yönlü, kendi kendine yayılan bir çerçeveye sahip karmaşık ve çok yönlü bir kötü amaçlı yazılım olduğu ortaya çıktı. .

StripedFly Bir Milyondan Fazla Sisteme Bulaşmış Olabilir

StripedFly kötü amaçlı yazılım çerçevesi, Windows işletim sisteminin çeşitli alt sistemleri başlatmaktan sorumlu meşru bir bileşeni olan WININIT.EXE işleminde varlığını tespit eden araştırmacılar tarafından tespit edilmesinin ardından gün ışığına çıktı.

Enjekte edilen kodun incelenmesi üzerine StripedFly'ın, Bitbucket, GitHub ve GitLab gibi yasal barındırma platformlarından başta PowerShell komut dosyaları olmak üzere ek dosyaların indirilmesini ve yürütülmesini başlattığı ortaya çıktı. Daha ileri analizler, kötü amaçlı yazılımın muhtemelen EternalBlue SMBv1 güvenlik açığından özelleştirilmiş bir şekilde yararlanarak cihazlara sızdığını ve öncelikle internete açık bilgisayarları hedef aldığını ortaya çıkardı.

'system.img' adı verilen son StripedFly yükü, ağ iletişimlerini müdahaleye karşı korumak için özel bir hafif TOR ağ istemcisi içerir. Ayrıca SMBv1 protokolünü devre dışı bırakma ve SSH ve EternalBlue kullanarak kendisini ağdaki diğer Windows ve Linux cihazlarına yayma yeteneğine de sahiptir. StripedFly'ın Komuta ve Kontrol (C2, C&C) sunucusu, TOR ağı içerisinde çalışarak, benzersiz bir kurban kimliği içeren sık sık işaret mesajları yoluyla iletişimi sürdürür.

StripedFly, Windows sistemlerinde kalıcılık sağlamak için yaklaşımını ayrıcalık düzeyine ve PowerShell'in varlığına göre uyarlar. PowerShell'in yokluğunda %APPDATA% dizininde gizli bir dosya oluşturur. PowerShell kullanılabilir olduğunda kötü amaçlı yazılım, zamanlanmış görevler oluşturmak veya Windows Kayıt Defteri anahtarlarını değiştirmek için komut dosyalarını çalıştırır.

Linux'ta StripedFly 'sd-pam' adını benimser. Bu platformda kalıcılık, systemd hizmetleri, .desktop dosyalarının otomatik başlatılması veya /etc/rc*, profile, bashrc veya inittab dosyaları dahil olmak üzere çeşitli profil ve başlangıç dosyalarının değiştirilmesi yoluyla sağlanır.

Son aşama yükünün Windows sistemlerine tesliminden sorumlu Bitbucket deposundan alınan veriler, Nisan 2023 ile Eylül 2023 arasında yaklaşık 60.000 sisteme StripedFly'ın bulaştığını gösteriyor. Ancak araştırmacılar StripedFly çerçevesinden etkilenen toplam cihaz sayısının bir milyonu geçebileceğini tahmin ediyor.

StripedFly Kötü Amaçlı Yazılımında Çok Sayıda Özel Modül Bulundu

Kötü amaçlı yazılım, uyarlanabilir modüllere sahip tek, bağımsız bir ikili yürütülebilir dosya olarak tasarlanmıştır ve ona tipik olarak Gelişmiş Kalıcı Tehdit (APT) işlemleriyle ilişkili operasyonel esneklik sağlar:

• • Yapılandırma Depolama: Bu modül, şifrelenmiş kötü amaçlı yazılım yapılandırmasını güvenli bir şekilde saklar.

• • Yükseltme/Kaldırma: Komuta ve Kontrol (C2) sunucusundan alınan komutlara dayalı olarak güncellemelerin yönetilmesinden veya kaldırılmasından sorumludur.

• • Ters Proxy: Mağdurun ağı içerisinde uzaktan eylemleri etkinleştirir.

• • Çeşitli Komut İşleyici: Ekran görüntülerinin yakalanması ve kabuk kodunun çalıştırılması da dahil olmak üzere çeşitli komutları yürütür.

• • Kimlik Bilgisi Toplayıcı: Parolalar ve kullanıcı adları gibi hassas kullanıcı verilerini tarar ve alır.

• • Tekrarlanabilir Görevler: Mikrofondan ses kaydetmek gibi önceden tanımlanmış koşullar altında belirli görevleri gerçekleştirir.

• • Recon Modülü: Kapsamlı sistem bilgilerini C2 sunucusuna gönderir.

• • SSH Bulaştırıcısı: Diğer sistemlere sızmak için toplanan SSH kimlik bilgilerini kullanır.

• • SMBv1 Infector: Özel bir EternalBlue güvenlik açığından yararlanarak diğer Windows sistemlerine yayılır.

• • Monero Madencilik Modülü: Kendisini bir "chrome.exe" işlemi olarak gizleyen Monero kripto para birimini madenler.

Monero kripto para madenci modülünün dahil edilmesi, dikkati başka yöne çekme girişimi olarak görülüyor çünkü tehdit aktörlerinin temel hedefleri, diğer modüller tarafından kolaylaştırılan veri hırsızlığı ve sistem istismarı etrafında dönüyor.