En skjult og sofistikeret stamme af malware ved navn StripedFly har stille navigeret i det digitale rige, undvigende opdagelse i over et halvt årti. Kaspersky, den berømte russiske cybersikkerhedsleverandør, har afsløret den indre funktion af denne lumske malware. StripedFly malware er blevet kategoriseret som en avanceret modulær ramme, der er i stand til problemfrit at infiltrere både Linux- og Windows-systemer.
The Stealthy Invasion of StripedFly
Oprindeligt opdaget af Kaspersky i 2017, StripedFly fungerer som en del af en større enhed, der anvender en skik EternalBlue SMBv1 udnyttelse, berømt forbundet med ligningsgruppen. Denne udnyttelse tjener som gateway for malware til at infiltrere offentligt tilgængelige systemer, at implementere en ondsindet shellkode med evnen til at downloade binære filer fra fjernlagre på Bitbucket og udføre PowerShell-scripts.
Malwarens kompleksitet fremhæves af dens integration i den legitime wininit.exe-proces, en Windows-initialiseringsmekanisme. Beskrevet som en monolitisk binær eksekverbar kode, StripedFly er designet til at understøtte pluggbare moduler, giver angriberne fleksibiliteten til at udvide eller opdatere dens funktionalitet problemfrit.
En mangefacetteret trussel
StripedFly stopper ikke ved ren infiltration; det fortsætter med at deaktivere SMBv1-protokollen på inficerede værter, sprede sin ondskab gennem ormemoduler via både SMB og SSH. Vedholdenhed opnås på forskellige måder, inklusive ændringer i Windows registreringsdatabasen, opgaveplanlægningsposter, eller på Linux-systemer, via systemd brugertjenester og autostartede filer.
Ud over dets hemmelige operationer, StripedFly downloader en Monero cryptocurrency minearbejder, ved at bruge DNS over HTTPS (DoH) anmoder om at skjule sin tilstedeværelse. Denne minearbejder fungerer som et lokkemiddel, strategisk aflede opmærksomheden fra malwarens mere skumle muligheder og forpurre sikkerhedssoftware.
Hidtil uset dedikation
Det, der adskiller StripedFly, er dens dedikation til stealth og unddragelse. Malwaren anvender en TOR-netværkstunnel til kommunikation med kommandoservere, ved hjælp af brugerdefinerede krypterede arkiver hostet på betroede tjenester som GitLab, GitHub, og Bitbucket. Malwaren har endda sin egen lette TOR-klient, et vidnesbyrd om, hvor langt trusselsaktørerne er gået for at skjule deres kommando-og-kontrol (C2) server.
Depoterne, fungerer som reservemekanismer, sikre malwarens kontinuitet, selvom den primære C2-server ikke reagerer, viser et sofistikeret niveau, som sjældent ses i cybertrusler.
Paralleller med EternalBlue Exploit
Kasperskys efterforskning afsløret spændende paralleller mellem StripedFly og Equation Groups bedrifter, især den berygtede EternalBlue. Denne forbindelse antyder involveringen af en avanceret vedvarende trussel (APT) skuespiller, rejser spørgsmål om den sande oprindelse og motiver bag StripedFlys skabelse.
På trods af overbevisende beviser, det egentlige formål med StripedFly forbliver indhyllet i mystik. Gåden bliver dybere, efterhånden som malwarens kodningsstil afspejler STRAITBIZARRE (SBZ), en spionageplatform forbundet med et formodet USA-tilknyttet modstanderkollektiv.
Ubesvarede spørgsmål
Mens cybersikkerhedsforskere kæmper med StripedFly's nysgerrige natur, Spørgsmål om dets endelige mål. Mens ransomware-varianten ThunderCrypt, deling af betydelige kodeoverlapninger, antyder et potentielt kommercielt motiv, det sofistikerede design og implementeringen af StripedFly udfordrer konventionelle antagelser om hensigten bag sådan avanceret malware.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: