Μια εξελιγμένη πλατφόρμα κακόβουλου λογισμικού πολλαπλών πλατφορμών με το όνομα StripedFly πετούσε κάτω από το ραντάρ των ερευνητών στον κυβερνοχώρο για πέντε χρόνια, μολύνοντας πάνω από ένα εκατομμύριο συστήματα Windows και Linux κατά τη διάρκεια αυτής της περιόδου.
Η Kaspersky ανακάλυψε την πραγματική φύση του κακόβουλου πλαισίου πέρυσι, βρίσκοντας στοιχεία για τη δραστηριότητά του που ξεκίνησε το 2017, με το κακόβουλο λογισμικό να ταξινομείται λανθασμένα ως απλώς ένας εξορύκτης κρυπτονομισμάτων Monero.
Οι αναλυτές περιγράφουν το StripedFly ως εντυπωσιακό, με εξελιγμένους μηχανισμούς απόκρυψης κίνησης βασισμένους σε TOR, αυτοματοποιημένη
ενημέρωση
από αξιόπιστες πλατφόρμες, δυνατότητες διάδοσης τύπου worm και ένα προσαρμοσμένο exploit EternalBlue SMBv1 που δημιουργήθηκε πριν από τη δημόσια αποκάλυψη του ελαττώματος.
Αν και
δεν είναι
σαφές εάν αυτό το πλαίσιο κακόβουλου λογισμικού χρησιμοποιήθηκε για δημιουργία εσόδων ή κατασκοπεία στον κυβερνοχώρο, η Kaspersky λέει ότι η πολυπλοκότητά του δείχνει ότι πρόκειται για κακόβουλο λογισμικό APT (προηγμένη επίμονη απειλή).
Με βάση τη χρονική σήμανση του μεταγλωττιστή για το κακόβουλο λογισμικό, η παλαιότερη γνωστή έκδοση του StripedFly με εκμετάλλευση EternalBlue χρονολογείται από τον Απρίλιο του 2016, ενώ η δημόσια διαρροή από την ομάδα Shadow Brokers σημειώθηκε τον Αύγουστο του 2016.
StripedFly σε πάνω από ένα εκατομμύριο συστήματα
Το πλαίσιο κακόβουλου λογισμικού StripedFly ανακαλύφθηκε για πρώτη φορά αφού η Kaspersky βρήκε τον κώδικα κελύφους της πλατφόρμας να έχει εισαχθεί στη διαδικασία WININIT.EXE, μια νόμιμη διαδικασία του λειτουργικού συστήματος των Windows που χειρίζεται την προετοιμασία διαφόρων υποσυστημάτων.
Αφού διερεύνησαν τον κώδικα που εισήχθη, διαπίστωσαν ότι κατεβάζει και εκτελεί πρόσθετα αρχεία, όπως σενάρια PowerShell, από νόμιμες
υπηρεσίες
φιλοξενίας όπως το Bitbucket, το GitHub και το GitLab, συμπεριλαμβανομένων των σεναρίων PowerShell.
Περαιτέρω έρευνα έδειξε ότι οι μολυσμένες συσκευές πιθανότατα παραβιάστηκαν για πρώτη φορά χρησιμοποιώντας μια προσαρμοσμένη εκμετάλλευση EternalBlue SMBv1 που στόχευε υπολογιστές που εκτίθενται στο διαδίκτυο.
Το τελικό ωφέλιμο φορτίο StripedFly (system.img) διαθέτει έναν προσαρμοσμένο ελαφρύ πελάτη δικτύου TOR για να προστατεύει τις επικοινωνίες του δικτύου του από υποκλοπές, τη δυνατότητα απενεργοποίησης του πρωτοκόλλου SMBv1 και διάδοσης σε άλλες συσκευές Windows και Linux στο δίκτυο χρησιμοποιώντας SSH και EternalBlue.
Ο διακομιστής εντολών και ελέγχου (C2) του κακόβουλου λογισμικού βρίσκεται στο δίκτυο TOR και η επικοινωνία μαζί του περιλαμβάνει συχνά μηνύματα beacon που περιέχουν το μοναδικό αναγνωριστικό του θύματος.
Αλυσίδα μόλυνσης του StripedFly
(Kaspersky)
Για επιμονή σε συστήματα Windows, το StripedFly προσαρμόζει τη συμπεριφορά του με βάση το επίπεδο των προνομίων που εκτελεί και την παρουσία του PowerShell.
Χωρίς το PowerShell, δημιουργεί ένα κρυφό αρχείο στον κατάλογο %APPDATA%. Σε περιπτώσεις όπου το PowerShell είναι διαθέσιμο, εκτελεί σενάρια για τη δημιουργία προγραμματισμένων εργασιών ή την τροποποίηση των κλειδιών μητρώου των Windows.
Στο Linux, το κακόβουλο λογισμικό παίρνει το όνομα “
sd-pam
‘. Επιτυγχάνει επιμονή χρησιμοποιώντας υπηρεσίες systemd, ένα αρχείο .
desktop
αυτόματης εκκίνησης ή τροποποιώντας διάφορα προφίλ και αρχεία εκκίνησης, όπως π.χ.
/etc/rc*
,
προφίλ, bashrc
ή
inittab
αρχεία.
Το αποθετήριο Bitbucket που παρέχει το ωφέλιμο φορτίο τελικού σταδίου σε συστήματα Windows υποδεικνύει ότι μεταξύ Απριλίου 2023 και Σεπτεμβρίου 2023, υπήρξαν σχεδόν 60.000 μολύνσεις συστήματος.
Υπολογίζεται ότι το StripedFly έχει μολύνει τουλάχιστον 220.000 συστήματα Windows από τον Φεβρουάριο του 2022, αλλά τα στατιστικά στοιχεία πριν από αυτήν την ημερομηνία δεν είναι διαθέσιμα και το αποθετήριο δημιουργήθηκε το 2018.
Πλήθος λήψεων ωφέλιμου φορτίου από τον Απρίλιο του 2023
(Kaspersky)
Ωστόσο,
Εκτιμά η Kaspersky
ότι πάνω από 1 εκατομμύριο συσκευές μολύνθηκαν από το πλαίσιο StripedFly.
Ενότητες κακόβουλου λογισμικού
Το κακόβουλο λογισμικό λειτουργεί ως μονολιθικό δυαδικό εκτελέσιμο με pluggable modules, δίνοντάς του μια λειτουργική ευελιξία που συχνά σχετίζεται με λειτουργίες APT.
Ακολουθεί μια σύνοψη των ενοτήτων του StripedFly από την αναφορά της Kaspersky:
-
Αποθήκευση διαμόρφωσης
: Αποθηκεύει κρυπτογραφημένη διαμόρφωση κακόβουλου λογισμικού. -
Αναβάθμιση/Απεγκατάσταση
: Διαχειρίζεται ενημερώσεις ή αφαίρεση βάσει εντολών διακομιστή C2. -
Αντίστροφος διακομιστής μεσολάβησης
: Επιτρέπει απομακρυσμένες ενέργειες στο δίκτυο του θύματος. -
Διάφορος χειριστής εντολών
: Εκτελεί διάφορες εντολές όπως λήψη στιγμιότυπου οθόνης και εκτέλεση κώδικα κελύφους. -
Θεριζοαλωνιστική μηχανή διαπιστευτηρίων
: Σαρώνει και συλλέγει ευαίσθητα δεδομένα χρήστη, όπως κωδικούς πρόσβασης και ονόματα χρήστη. -
Επαναλαμβανόμενες εργασίες
: Εκτελεί συγκεκριμένες εργασίες υπό ορισμένες συνθήκες, όπως εγγραφή μικροφώνου. -
Μονάδα Recon
: Στέλνει λεπτομερείς πληροφορίες συστήματος στον διακομιστή C2. -
Μολυσματικό SSH
: Χρησιμοποιεί συγκομιδή διαπιστευτηρίων SSH για να διεισδύσει σε άλλα συστήματα. -
SMBv1 infector
: Σκουλήκια σε άλλα συστήματα Windows χρησιμοποιώντας μια προσαρμοσμένη εκμετάλλευση EternalBlue. -
Μονάδα εξόρυξης Monero
: Εξορύσσει το Monero ενώ είναι καμουφλαρισμένο ως διαδικασία “chrome.exe”.
Η παρουσία του Monero crypto miner θεωρείται απόπειρα εκτροπής, με πρωταρχικούς στόχους των παραγόντων απειλής να είναι η κλοπή δεδομένων και η εκμετάλλευση του συστήματος που διευκολύνεται από τις άλλες ενότητες.
“Το ωφέλιμο φορτίο κακόβουλου λογισμικού περιλαμβάνει πολλές ενότητες, επιτρέποντας στον ηθοποιό να λειτουργεί ως APT, ως εξορύκτης κρυπτογράφησης, ακόμη και ως ομάδα ransomware”, αναφέρει
Η έκθεση της Kaspersky
.
“Συγκεκριμένα, το κρυπτονόμισμα Monero που εξορύχθηκε από αυτήν την ενότητα έφτασε στην κορυφαία αξία του στα 542,33 $ στις 9 Ιανουαρίου 2018, σε σύγκριση με την αξία του περίπου 10 $ το 2017. Από το 2023, διατήρησε μια αξία περίπου 150 $.”
“Οι ειδικοί της Kaspersky τονίζουν ότι η μονάδα εξόρυξης είναι ο πρωταρχικός παράγοντας που επιτρέπει στο κακόβουλο λογισμικό να αποφύγει τον εντοπισμό για μεγάλο χρονικό διάστημα.”
Οι ερευνητές εντόπισαν επίσης συνδέσμους με την παραλλαγή ransomware ThunderCrypt, η οποία χρησιμοποιεί τον ίδιο διακομιστή C2 στο “ghtyqipha6mcwxiz[.]κρεμμύδι: 1111.”
Η «μονάδα
επα
ναλαμβανόμενων εργασιών» υποδηλώνει επίσης ότι οι άγνωστοι εισβολείς θα μπορούσαν να ενδιαφέρονται για τη δημιουργία εσόδων για ορισμένα θύματα.
VIA:
bleepingcomputer.com