Une souche secrète et sophistiquée de les logiciels malveillants nommé StripeFly a navigué silencieusement dans le domaine numérique, échappant à la détection pendant plus d’une demi-décennie. Kaspersky, le célèbre fournisseur russe de cybersécurité, a dévoilé le fonctionnement interne de ce malware insidieux. Le malware StripeFly a été classé comme un framework modulaire avancé capable d'infiltrer de manière transparente les systèmes Linux et Windows..
L'invasion furtive de StripeFly
Initialement détecté par Kaspersky dans 2017, StripeFly opère dans le cadre d'une entité plus grande employant un EternalBlue Exploit SMBv1, célèbre associé au groupe Equation. Cet exploit sert de passerelle permettant au malware d'infiltrer les systèmes accessibles au public., déployer un shellcode malveillant avec la prouesse de télécharger des fichiers binaires à partir de référentiels distants sur Bitbucket et d'exécuter des scripts PowerShell.
La complexité du malware est mise en évidence par son intégration dans le processus légitime wininit.exe, un mécanisme d'initialisation Windows. Décrit comme un code exécutable binaire monolithique, StripeFly est conçu pour prendre en charge les modules enfichables, offrant aux attaquants la flexibilité d’étendre ou de mettre à jour ses fonctionnalités de manière transparente.
Une menace aux multiples facettes
StripeFly ne s'arrête pas à la simple infiltration; il continue en désactivant le protocole SMBv1 sur les hôtes infectés, propager sa malveillance à travers des modules de vermifugation via SMB et SSH. La persistance est obtenue par divers moyens, y compris les modifications du registre Windows, entrées du planificateur de tâches, ou sur les systèmes Linux, via les services utilisateur systemd et les fichiers démarrés automatiquement.
Au-delà de ses opérations secrètes, StripeFly télécharge un Monero mineur crypto-monnaie, utiliser DNS sur HTTPS (DoH) demande de dissimuler sa présence. Ce mineur fait office de leurre, détourner stratégiquement l'attention des capacités les plus sinistres du malware et contrecarrer les logiciels de sécurité.
Un dévouement sans précédent
Ce qui distingue StripeFly, c'est son dévouement à la furtivité et à l'évasion.. Le malware utilise un tunnel réseau TOR pour communiquer avec les serveurs de commande, en utilisant des archives chiffrées personnalisées hébergées sur des services de confiance comme GitLab, GitHub, et Bitbucket. Le malware dispose même de son propre client TOR léger, un témoignage des efforts déployés par les acteurs de la menace pour dissimuler leur commandement et contrôle (C2) serveur.
Les référentiels, agissant comme des mécanismes de repli, assurer la continuité du malware même si le serveur C2 principal ne répond plus, présentant un niveau de sophistication rarement vu dans les cybermenaces.
Parallèles avec l’exploit EternalBlue
Kaspersky de enquête a dévoilé des parallèles intrigants entre StripeFly et les exploits du groupe Equation, en particulier le fameux EternalBlue. Cette connexion fait allusion à l'implication d'une menace persistante avancée (APTE) acteur, soulevant des questions sur les véritables origines et motivations derrière la création de StripeFly.
Malgré les preuves irréfutables, le véritable objectif de StripeFly reste entouré de mystère. L'énigme s'approfondit à mesure que le style de codage du malware reflète celui de STRAITBIZARRE (SBZ), une plateforme d'espionnage associée à un collectif antagoniste présumé lié aux États-Unis.
Questions sans réponse
Alors que les chercheurs en cybersécurité sont aux prises avec la nature curieuse de StripeFly, des questions subsistent sur son objectif ultime. Alors que la variante du ransomware ThunderCrypt, partager des chevauchements de code importants, suggère un motif commercial potentiel, la conception et le déploiement sophistiqués de StripeFly remettent en question les hypothèses conventionnelles sur l'intention derrière ces logiciels malveillants avancés..