MKD-CIRT National Centre for Computer Incident Response
Софистицирана платформа за малициозен софтвер со вкрстени платформи наречена StripedFly леташе под радарот на истражувачите за сајбер безбедност пет години, заразувајќи над милион системи на Windows и Linux во тоа време.
Kaspersky ја откри вистинската природа на злонамерната рамка минатата година, наоѓајќи докази за неговата активност почнувајќи од 2017 година, при што малициозниот софтвер погрешно е класифициран како само рудар на криптовалути Monero.
Аналитичарите го опишуваат StripedFly како ништо помалку од импресивно, со софистицирани механизми за прикривање сообраќај базирани на TOR, автоматизирано ажурирање од доверливи платформи, можности за ширење слични на црви и прилагоден експлоат на EternalBlue SMBv1 создаден пред јавното откривање на пропустот.
Иако не е јасно дали оваа рамка за малициозен софтвер била користена за генерирање приходи или сајбер шпионажа, Kaspersky вели дека неговата софистицираност укажува дека ова е APT (напредна постојана закана) малициозен софтвер.
Врз основа на временскиот печат на компајлерот за малициозниот софтвер, најраната позната верзија на StripedFly со експлоатација на EternalBlue датира од април 2016 година, додека јавното протекување од групата Shadow Brokers се случи во август 2016 година.
StripedFly во над милион системи
Рамката за малициозен софтвер StripedFly за прв пат беше откриена откако Kaspersky го пронајде кодот на обвивката на платформата инјектиран во процесот WININIT.EXE, легитимен процес на Windows OS што се справува со иницијализацијата на различни потсистеми.
По истражувањето на инјектираниот код, тие утврдија дека презема и извршува дополнителни датотеки, како што се скриптите PowerShell, од легитимните хостинг услуги како Bitbucket, GitHub и GitLab, вклучувајќи ги и PowerShell скриптите.
Понатамошната истрага покажа дека заразените уреди најверојатно прво биле пробиени со користење на прилагодена експлоатација на EternalBlue SMBv1 која ги таргетирала компјутерите изложени на интернет.
Конечниот товар на StripedFly (system.img) се одликува со прилагоден лесен TOR мрежен клиент за заштита на своите мрежни комуникации од пресретнување, можност за оневозможување на протоколот SMBv1 и ширење на други уреди со Windows и Linux на мрежата користејќи SSH и EternalBlue.
Серверот за команда и контрола (C2) на малициозниот софтвер се наоѓа на мрежата TOR, а комуникацијата со неа вклучува чести пораки со светилник кои го содржат единствениот ID на жртвата.
Синџир на инфекција на StripedFly (Kaspersky)
За упорност на Windows системите, StripedFly го прилагодува своето однесување врз основа на нивото на привилегии на кои работи и присуството на PowerShell.
Без PowerShell, генерира скриена датотека во директориумот %APPDATA%. Во случаи кога е достапен PowerShell, тој извршува скрипти за креирање закажани задачи или менување на клучевите од регистарот на Windows.
На Linux, малициозниот софтвер го презема името „ sd-pam “. Постигнува упорност со користење на системски услуги, автоматско стартување на .desktop-датотека или со менување на различни профилни и датотеки за стартување, како што се датотеките /etc/rc* , профил, bashrc или inittab .
Складиштето на Bitbucket што го доставува оптоварувањето на последната фаза на системите на Windows покажува дека помеѓу април 2023 и септември 2023 година, имало скоро 60.000 инфекции на системот.
Се проценува дека StripedFly има заразено најмалку 220.000 Windows системи од февруари 2022 година, но статистиката од пред тој датум е недостапна, а складиштето е создадено во 2018 година.
Број на преземања на носивост од април 2023 година (Kaspersky)
Сепак, Kaspersky проценува дека преку 1 милион уреди биле заразени од рамката StripedFly.
Модули за малициозен софтвер
Злонамерниот софтвер работи како монолитен бинарен извршна датотека со модули што може да се приклучат, што му дава оперативна разноврсност често поврзана со операциите на APT.
Еве резиме на модулите на StripedFly од извештајот на Kaspersky:
- Складирање за конфигурација : чува шифрирана конфигурација на малициозен софтвер.
- Надградба/Деинсталирање : Управува со ажурирања или отстранување врз основа на командите на серверот C2.
- Обратен прокси : Дозволува далечински дејства на мрежата на жртвата.
- Разно ракувач со команди : Извршува различни команди, како што се снимање на слики од екранот и извршување на кодот на школка.
- Собавувач на акредитиви : скенира и собира чувствителни кориснички податоци како лозинки и кориснички имиња.
- Повторливи задачи : Врши специфични задачи под одредени услови, како што е снимање со микрофон.
- Recon модул : Испраќа детални информации за системот до серверот C2.
- Инфектор на SSH : Користи собрани ингеренции за SSH за да навлезе во други системи.
- Инфектор на SMBv1 : Црви во други системи на Windows користејќи прилагодена експлоатација на EternalBlue.
- Модул за рударство Monero : го минира Monero додека е камуфлиран како процес „chrome.exe“.
Присуството на крипто-рударот Monero се смета за обид за пренасочување, при што основните цели на заканите се кражба на податоци и искористување на системот олеснета од другите модули.
„Оплатата на малициозен софтвер опфаќа повеќе модули, овозможувајќи му на актерот да настапува како APT, како крипто-рудар, па дури и како група за откупни софтвери“, се вели во извештајот на Kaspersky .
„Имено, криптовалутата Monero минирана од овој модул ја достигна својата максимална вредност од 542,33 долари на 9 јануари 2018 година, во споредба со нејзината вредност од 2017 година од околу 10 долари.
„Експертите на Kaspersky нагласуваат дека модулот за рударство е примарен фактор што му овозможува на малициозниот софтвер да избегне откривање на подолг период“.
Истражувачите, исто така, идентификуваа врски до варијантата на откупниот софтвер ThunderCrypt , која го користи истиот сервер C2 на „ghtyqipha6mcwxiz[.]onion:1111“.
„Модулот за повторливи задачи“ исто така сугерира дека неидентификуваните напаѓачи би можеле да бидат заинтересирани за генерирање приходи за некои жртви.
Извор: bleepingcomputer.com