Търсене
Close this search box.

StripedFly работи от 5 години, заразява над милион устройства

Усъвършенстван щам на зловреден софтуер, маскиран като миньор за криптовалута, успява да се скрие от радарите в продължение на повече от пет години, като в този процес заразява не по-малко от един милион устройства по света.

Това сочат констатациите на Kaspersky, която е дала кодово име на заплахата StripedFly, описвайки я като „сложна модулна рамка, която поддържа както Linux, така и Windows“.

Руският доставчик на киберсигурност, който за първи път открива образците през 2017 г., заяви, че миньорът е част от много по-голяма структура, която използва персонализиран експлойт EternalBlue SMBv1, приписван на Equation Group, за да проникне в публично достъпни системи.

Зловредният шелкод, доставен чрез експлойта, има способността да изтегля двоични файлове от отдалечено хранилище Bitbucket, както и да изпълнява скриптове PowerShell. Той също така поддържа колекция от разширяеми функции, подобни на плъгини, за събиране на чувствителни данни и дори за самоинсталиране.

Шел кодът на платформата е инжектиран в процеса wininit.exe – легитимен процес на Windows, който се стартира от мениджъра за зареждане (BOOTMGR) и обработва инициализирането на различни услуги.

„Самият полезен товар на зловредния софтуер е структуриран като монолитен двоичен изпълним код, проектиран да поддържа модули за включване с цел разширяване или актуализиране на функционалността му“, казват изследователите по сигурността Сергей Белов, Вилен Камалов и Сергей Ложкин в технически доклад, публикуван миналата седмица.

„Той е оборудван с вграден мрежов тунел TOR за комуникация с командните сървъри, както и с функционалност за актуализиране и доставка чрез надеждни услуги като GitLab, GitHub и Bitbucket, като всички те използват персонализирани криптирани архиви.“

Други забележителни шпионски модули му позволяват да събира идентификационни данни на всеки два часа, да заснема скрийншоти на устройството на жертвата, без да бъде открит, да записва входа на микрофона и да стартира обратен прокси сървър за изпълнение на отдалечени действия.

След като получи успешна опора, зловредният софтуер пристъпва към деактивиране на протокола SMBv1 на заразения хост и разпространява зловредния софтуер на други машини с помощта на модул за червеене както чрез SMB, така и чрез SSH, като използва ключове, събрани в хакнатите системи.

StripedFly постига устойчивост чрез модифициране на регистъра на Windows или чрез създаване на записи в графика на задачите, ако е инсталиран интерпретаторът PowerShell и е наличен административен достъп. В Linux постоянството се постига чрез потребителска услуга systemd, автоматично стартиран файл .desktop или чрез модифициране на файлове /etc/rc*, profile, bashrc или inittab.

Изтеглена е и миньорска програма за криптовалута Monero, която използва DNS over HTTPS (DoH) заявки за разрешаване на сървърите на пула, добавяйки допълнително ниво на скритост към злонамерените дейности. Оценено е, че миньорът се използва като примамка, за да се попречи на софтуера за сигурност да открие пълната степен на възможностите на зловредния софтуер.

В стремежа си да се сведе до минимум отпечатъкът, компонентите на зловредния софтуер, които могат да бъдат разтоварени, се хостват като криптирани двоични файлове в различни услуги за хостинг на хранилища за код, като Bitbucket, GitHub или GitLab.

Например хранилището в Bitbucket, управлявано от автора на заплахата от юни 2018 г., включва изпълними файлове, способни да обслужват първоначалния полезен товар на инфекцията както в Windows, така и в Linux, да проверяват за нови актуализации и в крайна сметка да актуализират зловредния софтуер.

Комуникацията със сървъра за командване и управление (C2), който е разположен в мрежата TOR, се осъществява с помощта на персонализирана, олекотена реализация на клиент TOR, която не се основава на никакви публично документирани методи.

„Нивото на отдаденост, демонстрирано от тази функционалност, е забележително“, казват изследователите. „Целта да се скрие сървърът C2 на всяка цена е довела до разработването на уникален и отнемащ много време проект – създаването на собствен TOR клиент.“

Друга поразителна характеристика е, че тези хранилища действат като резервни механизми за изтегляне на файловете за актуализация от зловредния софтуер, когато основният му източник (т.е. C2 сървърът) не реагира.

Kaspersky съобщи, че освен това е разкрила семейство рансъмуер, наречено ThunderCrypt, което има значително припокриване на изходния код със StripedFly, като се изключи липсата на модул за заразяване с SMBv1. Твърди се, че ThunderCrypt е бил използван срещу цели в Тайван през 2017 г.

Понастоящем произходът на StripedFly остава неизвестен, въпреки че сложността на рамката и нейните паралели с EternalBlue показват всички отличителни белези на  напреднала постоянна заплаха (APT).

Струва си да се отбележи, че макар изтичането на експлойта EternalBlue от Shadow Brokers да е станало на 14 април 2017 г., най-ранната идентифицирана версия на StripedFly, включваща EternalBlue, датира година назад – от 9 април 2016 г. След изтичането на информация експлойтът EternalBlue беше използван от севернокорейски и руски хакерски организации за разпространение на зловредните програми WannaCry и Petya.

При това има и доказателства, че китайски хакерски групи може да са имали достъп до някои от експлойтите на Equation Group преди те да изтекат онлайн, както беше разкрито от Check Point през февруари 2021 г.

Сходството със зловредния софтуер, свързан с Equation Group, според Kaspersky, се изразява и в стила на кодиране и практиките, наподобяващи тези, наблюдавани в STRAITBIZARRE (SBZ), друга платформа за кибершпионаж, притежавана от предполагаемия противников колектив, свързан със САЩ.

Разработката идва близо две години след като изследователи от китайската лаборатория Pangu Lab описаха подробно „първокласна“ задна врата, наречена Bvp47, за която се твърди, че е била използвана от Equation Group за повече от 287 цели, обхващащи множество сектори в 45 държави.

Излишно е да казваме, че ключов аспект на кампанията, който продължава да бъде загадка – освен за тези, които са създали зловредния софтуер – е нейната истинска цел.

„Макар че рансъмуерът ThunderCrypt предполага търговски мотив за авторите му, това повдига въпроса защо вместо това те не са избрали потенциално по-доходоносния път“, казват изследователите.

„Трудно е да се приеме идеята, че такъв сложен и професионално разработен зловреден софтуер би служил на толкова тривиална цел, като се имат предвид всички доказателства за обратното.“

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
11/04/2024

Panera Bread подхранва подо...

Веригата ресторанти не е предоставила никаква...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!