Sofisticirana cross-platform malver platforma pod nazivom StripedFly letjela je ispod radara istraživača kibernetičke sigurnosti pet godina, zarazivši za to vrijeme preko milion Windows i Linux sistema.
Kaspersky je otkrio pravu prirodu zlonamjernog okvira prošle godine, pronašavši dokaze o njegovoj aktivnosti počevši od 2017. godine, pri čemu je malver pogrešno klasifikovan samo kao rudar kriptovaluta Monero.
Analitičari opisuju StripedFly kao impresivan, sa sofisticiranim mehanizmima za prikrivanje saobraćaja zasnovanim na TOR-u, automatizovanim ažuriranjem sa pouzdanih platformi, mogućnostima širenja poput crva i prilagođenom EternalBlue SMBv1 eksploatacijom kreiranom prije javnog otkrivanja greške.
Iako je nejasno da li je ovaj okvir malvera korišten za stvaranje prihoda ili sajber špijunažu, Kaspersky kaže da njegova sofisticiranost ukazuje da se radi o APT (napredna trajna prijetnja) malveru.
Na osnovu vremenske oznake kompajlera za zlonamjerni softver, najranija poznata verzija StripedFly-a sa eksploatacijom EternalBlue datira iz aprila 2016. godine, dok je grupa Shadow Brokers procurila u javnost u avgustu 2016. godine.
StripedFly u preko milion sistema
Okvir malvera StripedFly je prvi put otkriven nakon što je Kaspersky pronašao shellcode platforme ubačen u proces WININIT.EXE, legitimni Windows OS proces koji upravlja inicijalizacijom različitih podsistema.
Nakon što su istražili ubačeni kod, utvrdili su da preuzima i izvršava dodatne datoteke, kao što su PowerShell skripte, sa legitimnih hosting servisa kao što su Bitbucket, GitHub i GitLab, uključujući PowerShell skripte.
Dalja istraga je pokazala da su zaraženi uređaji najvjerovatnije prvo probijeni korištenjem prilagođene EternalBlue SMBv1 eksploatacije koja je ciljala računare izložene internetu.
Konačni StripedFly payload (system.img) sadrži prilagođeni lagani TOR mrežni klijent za zaštitu mrežne komunikacije od presretanja, mogućnost onemogućavanja SMBv1 protokola i širenja na druge Windows i Linux uređaje na mreži koristeći SSH i EternalBlue.
Komandni i kontrolni server (C2) zlonamjernog softvera nalazi se na TOR mreži, a komunikacija s njim uključuje česte beacon poruke koje sadrže jedinstveni ID žrtve.
Za postojanost na Windows sistemima, StripedFly prilagođava svoje ponašanje na osnovu nivoa privilegija na kojima radi i prisutnosti PowerShell-a.
Bez PowerShell-a, generiše skriveni fajl u %APPDATA% direktorijumu. U slučajevima kada je PowerShell dostupan, on izvršava skripte za kreiranje zakazanih zadataka ili modifikovanje ključeva Windows Registry.
Na Linuxu, malver preuzima ime ‘ sd-pam ‘. Postiže postojanost koristeći sistemske usluge, autostart .desktop fajl, ili modifikujući različite datoteke profila i pokretanja, kao što su /etc/rc*, profile, bashrc ili inittab fajlovi.
Bitbucket repozitorij koji isporučuje završnu fazu payloada na Windows sistemima pokazuje da je između aprila 2023. i septembra 2023. bilo skoro 60.000 sistemskih infekcija.
Procjenjuje se da je StripedFly zarazio najmanje 220.000 Windows sistema od februara 2022. godine, ali statistike od prije tog datuma nisu dostupne iako je repozitorij kreiran 2018. godine.
Međutim, Kaspersky procjenjuje da je preko 1 milion uređaja zaraženo StripedFly frameworkom.
Moduli malvera
ZMalver radi kao monolitna binarna izvršna datoteka sa modulima koji se mogu priključiti, dajući mu operativnu svestranost koja se često povezuje s APT operacijama.
Evo rezimea StripedFly modula iz Kaspersky izvještaja:
- Pohrana konfiguracije : Pohranjuje šifrovanu konfiguraciju malvera.
- Nadogradnja/Deinstaliranje : Upravlja ažuriranjima ili uklanjanjem na osnovu naredbi C2 servera.
- Reverse proxy : Omogućava udaljene radnje na mreži žrtve.
- Rukovalac raznim naredbama : Izvršava različite komande kao što je snimanje snimka ekrana i izvršavanje shellcode-a.
- Skupljač vjerodajnica : skenira i prikuplja osjetljive korisničke podatke kao što su lozinke i korisnička imena.
- Ponovljivi zadaci : Obavlja određene zadatke pod određenim uslovima, kao što je snimanje mikrofonom.
- Recon modul : Šalje detaljne sistemske informacije na C2 server.
- SSH infektor : Koristi prikupljene SSH akreditive za prodor u druge sisteme.
- SMBv1 infektor : Unosi se u druge Windows sisteme koristeći prilagođeni EternalBlue exploit.
- Monero rudarski modul : Mineruje Monero dok je kamufliran kao proces “chrome.exe”.
Prisustvo kripto rudara Monero smatra se pokušajem preusmjeravanja, pri čemu su primarni ciljevi hakera krađa podataka i eksploatacija sistema uz pomoć drugih modula.
“Payload zlonamjernog softvera obuhvata više modula, omogućavajući hakeru da nastupa kao APT, kao kripto rudar, pa čak i kao ransomware grupa”, stoji u Kaspersky izvještaju.
“Primjetno, kriptovaluta Monero koju je rudario ovaj modul dostigla je svoju vršnu vrijednost od 542,33 dolara 9. januara 2018., u poređenju sa vrijednošću iz 2017. od oko 10 dolara. Od 2023. zadržala je vrijednost od približno 150 dolara.”
“Kaspersky stručnjaci naglašavaju da je modul za rudarenje primarni faktor koji omogućava malveru da izbjegne otkrivanje na duži period.”
Istraživači su takođe identifikovali veze sa ransomware varijantom ThunderCrypt, koja koristi isti C2 server na “ghtyqipha6mcwxiz[.]onion:1111.”
‘Modul ponovljivih zadataka’ takođe sugeriše da bi neidentifikovani napadači mogli biti zainteresovani za stvaranje prihoda za neke žrtve.
Izvor: BleepingComputer