Site icon Kiber.ba

StripedFly malware framework zarazio milion Windows i Linux hostova

StripedFly malware framework zarazio milion Windows i Linux hostova - Kiber.ba

StripedFly malware framework zarazio milion Windows i Linux hostova - Kiber.ba

Sofisticirana cross-platform malver platforma pod nazivom StripedFly letjela je ispod radara istraživača kibernetičke sigurnosti pet godina, zarazivši za to vrijeme preko milion Windows i Linux sistema.

Kaspersky je otkrio pravu prirodu zlonamjernog okvira prošle godine, pronašavši dokaze o njegovoj aktivnosti počevši od 2017. godine, pri čemu je malver pogrešno klasifikovan samo kao rudar kriptovaluta Monero.

Analitičari opisuju StripedFly kao impresivan, sa sofisticiranim mehanizmima za prikrivanje saobraćaja zasnovanim na TOR-u, automatizovanim ažuriranjem sa pouzdanih platformi, mogućnostima širenja poput crva i prilagođenom EternalBlue SMBv1 eksploatacijom kreiranom prije javnog otkrivanja greške.

Iako je nejasno da li je ovaj okvir malvera korišten za stvaranje prihoda ili sajber špijunažu, Kaspersky kaže da njegova sofisticiranost ukazuje da se radi o APT (napredna trajna prijetnja) malveru.

Na osnovu vremenske oznake kompajlera za zlonamjerni softver, najranija poznata verzija StripedFly-a sa eksploatacijom EternalBlue datira iz aprila 2016. godine, dok je  grupa Shadow Brokers procurila u javnost u avgustu 2016. godine.

StripedFly u preko milion sistema

Okvir malvera StripedFly je prvi put otkriven nakon što je Kaspersky pronašao shellcode platforme ubačen u proces WININIT.EXE, legitimni Windows OS proces koji upravlja inicijalizacijom različitih podsistema.

Nakon što su istražili ubačeni kod, utvrdili su da preuzima i izvršava dodatne datoteke, kao što su PowerShell skripte, sa legitimnih hosting servisa kao što su Bitbucket, GitHub i GitLab, uključujući PowerShell skripte.

Dalja istraga je pokazala da su zaraženi uređaji najvjerovatnije prvo probijeni korištenjem prilagođene EternalBlue SMBv1 eksploatacije koja je ciljala računare izložene internetu.

Konačni StripedFly payload (system.img) sadrži prilagođeni lagani TOR mrežni klijent za zaštitu mrežne komunikacije od presretanja, mogućnost onemogućavanja SMBv1 protokola i širenja na druge Windows i Linux uređaje na mreži koristeći SSH i EternalBlue.

Komandni i kontrolni server (C2) zlonamjernog softvera nalazi se na TOR mreži, a komunikacija s njim uključuje česte beacon poruke koje sadrže jedinstveni ID žrtve.

Za postojanost na Windows sistemima, StripedFly prilagođava svoje ponašanje na osnovu nivoa privilegija na kojima radi i prisutnosti PowerShell-a.

Bez PowerShell-a, generiše skriveni fajl u %APPDATA% direktorijumu. U slučajevima kada je PowerShell dostupan, on izvršava skripte za kreiranje zakazanih zadataka ili modifikovanje ključeva Windows Registry.

Na Linuxu, malver preuzima ime ‘ sd-pam ‘. Postiže postojanost koristeći sistemske usluge, autostart .desktop fajl, ili modifikujući različite datoteke profila i pokretanja, kao što su /etc/rc*profile, bashrc ili inittab fajlovi.

Bitbucket repozitorij koji isporučuje završnu fazu payloada na Windows sistemima pokazuje da je između aprila 2023. i septembra 2023. bilo skoro 60.000 sistemskih infekcija.

Procjenjuje se da je StripedFly zarazio najmanje 220.000 Windows sistema od februara 2022. godine, ali statistike od prije tog datuma nisu dostupne iako je repozitorij kreiran 2018. godine.

Međutim, Kaspersky procjenjuje da je preko 1 milion uređaja zaraženo StripedFly frameworkom.

Moduli malvera

ZMalver radi kao monolitna binarna izvršna datoteka sa modulima koji se mogu priključiti, dajući mu operativnu svestranost koja se često povezuje s APT operacijama.

Evo rezimea StripedFly modula iz Kaspersky izvještaja:

Prisustvo kripto rudara Monero smatra se pokušajem preusmjeravanja, pri čemu su primarni ciljevi hakera krađa podataka i eksploatacija sistema uz pomoć drugih modula.

“Payload zlonamjernog softvera obuhvata više modula, omogućavajući hakeru da nastupa kao APT, kao kripto rudar, pa čak i kao ransomware grupa”, stoji u Kaspersky izvještaju.

“Primjetno, kriptovaluta Monero koju je rudario ovaj modul dostigla je svoju vršnu vrijednost od 542,33 dolara 9. januara 2018., u poređenju sa vrijednošću iz 2017. od oko 10 dolara. Od 2023. zadržala je vrijednost od približno 150 dolara.”

“Kaspersky stručnjaci naglašavaju da je modul za rudarenje primarni faktor koji omogućava malveru da izbjegne otkrivanje na duži period.”

Istraživači su takođe identifikovali veze sa ransomware varijantom ThunderCrypt, koja koristi isti C2 server na “ghtyqipha6mcwxiz[.]onion:1111.” 

‘Modul ponovljivih zadataka’ takođe sugeriše da bi neidentifikovani napadači mogli biti zainteresovani za stvaranje prihoda za neke žrtve.

Izvor: BleepingComputer

Exit mobile version