Шкідлива програма StripedFly

Фахівці з кібербезпеки виявили надзвичайно просунутий штам шкідливого програмного забезпечення під назвою StripedFly, який раніше не був відомий спільноті інфосекцій. Це зловмисне програмне забезпечення продемонструвало глобальний вплив, націлюючись і впливаючи на понад мільйон жертв принаймні з 2017 року. Спочатку замасковане під інструмент майнінгу криптовалюти виявилося, що воно є складним і універсальним зловмисним програмним забезпеченням, що містить багатогранну структуру, що саморозповсюджується. .

StripedFly міг заразити понад мільйон систем

Фреймворк зловмисного програмного забезпечення StripedFly з’явився після його виявлення дослідниками, які визначили його присутність у процесі WININIT.EXE, законному компоненті ОС Windows, що відповідає за ініціювання різних підсистем.

Після вивчення впровадженого коду стало очевидно, що StripedFly ініціює завантаження та виконання додаткових файлів, зокрема сценаріїв PowerShell, із законних платформ хостингу, таких як Bitbucket, GitHub і GitLab. Подальший аналіз показав, що зловмисне програмне забезпечення, ймовірно, проникло на пристрої через налаштований експлойт уразливості EternalBlue SMBv1, головним чином націлюючись на комп’ютери, піддані доступу до Інтернету.

Останнє корисне навантаження StripedFly під назвою «system.img» включає власний полегшений мережевий клієнт TOR для захисту його мережевих комунікацій від перехоплення. Він також має можливість деактивувати протокол SMBv1 і поширюватися на інші пристрої Windows і Linux у мережі за допомогою SSH і EternalBlue. Сервер командування та управління (C2, C&C) для StripedFly працює в мережі TOR, підтримуючи зв’язок через часті повідомлення-маяки, що містять унікальний ідентифікатор жертви.

Щоб забезпечити стійкість у системах Windows, StripedFly адаптує свій підхід на основі рівня привілеїв і наявності PowerShell. За відсутності PowerShell він створює прихований файл у каталозі %APPDATA%. Коли PowerShell доступний, зловмисне програмне забезпечення виконує сценарії для створення запланованих завдань або зміни ключів реєстру Windows.

У Linux StripedFly використовує назву «sd-pam». Постійність на цій платформі досягається за допомогою системних служб, файлів .desktop із автоматичним запуском або зміненням різних файлів профілів і запуску, включаючи файли /etc/rc*, profile, bashrc або inittab.

Дані зі сховища Bitbucket, відповідального за доставку корисного навантаження останньої стадії до систем Windows, свідчать про те, що з квітня 2023 року по вересень 2023 року майже 60 000 систем були заражені StripedFly. Однак дослідники підрахували, що загальна кількість пристроїв, на які впливає фреймворк StripedFly, може перевищити мільйон.

Численні спеціалізовані модулі, знайдені у шкідливому ПЗ StripedFly

Зловмисне програмне забезпечення розроблено як єдиний самодостатній двійковий виконуваний файл із адаптованими модулями, що забезпечує йому операційну гнучкість, яка зазвичай пов’язана з операціями Advanced Persistent Threat (APT):

• Зберігання конфігурації: цей модуль надійно зберігає зашифровану конфігурацію зловмисного програмного забезпечення.
• Оновлення/видалення: відповідає за керування оновленнями або видаленням на основі команд, отриманих із сервера командування та керування (C2).
• Зворотний проксі: дозволяє віддалені дії в мережі жертви.
• Обробник різноманітних команд: виконує різні команди, включаючи створення знімків екрана та запуск шелл-коду.
• Credential Harvester: сканує та отримує конфіденційні дані користувачів, такі як паролі та імена користувачів.
• Повторювані завдання: виконує певні завдання за попередньо визначених умов, наприклад запис звуку з мікрофона.
• Модуль Recon: надсилає повну інформацію про систему на сервер C2.
• SSH Infector: використовує зібрані облікові дані SSH для проникнення в інші системи.
• SMBv1 Infector: поширюється на інші системи Windows, використовуючи спеціальну вразливість EternalBlue.
• Модуль майнінгу Monero: майнить криптовалюту Monero, маскуючись під процес «chrome.exe».

Включення модуля майнера криптовалюти Monero розглядається як спроба відволікти увагу, оскільки основні цілі зловмисників зосереджені навколо крадіжки даних і використання системи, що сприяє іншим модулям.