Operazione di mining segreta di criptovaluta di StripedFly Malware

Un ceppo nascosto e sofisticato di il malware chiamato StripedFly ha navigato silenziosamente nel regno digitale, sfuggendo al rilevamento per oltre mezzo decennio. Kaspersky, il rinomato fornitore russo di sicurezza informatica, ha svelato il funzionamento interno di questo insidioso malware. Il malware StripedFly è stato classificato come un framework modulare avanzato in grado di infiltrarsi perfettamente nei sistemi Linux e Windows.

L'invasione furtiva di StripedFly

Inizialmente rilevato da Kaspersky in 2017, StripedFly opera come parte di un'entità più ampia che impiega un'abitudine EternalBlue Sfruttamento SMBv1, notoriamente associato al Gruppo di Equazioni. Questo exploit funge da gateway affinché il malware possa infiltrarsi nei sistemi accessibili al pubblico, distribuire uno shellcode dannoso con la capacità di scaricare file binari da repository remoti su Bitbucket ed eseguire script PowerShell.

La complessità del malware è evidenziata dalla sua integrazione nel processo legittimo wininit.exe, un meccanismo di inizializzazione di Windows. Descritto come un codice eseguibile binario monolitico, StripedFly è progettato per supportare moduli collegabili, fornendo agli aggressori la flessibilità necessaria per estendere o aggiornare le sue funzionalità senza problemi.

Una minaccia dalle molteplici sfaccettature

StripedFly non si ferma alla semplice infiltrazione; prosegue disabilitando il protocollo SMBv1 sugli host infetti, diffondendo la sua malevolenza attraverso moduli worm sia tramite SMB che SSH. La persistenza si ottiene attraverso vari mezzi, comprese le modifiche del registro di Windows, voci dell'utilità di pianificazione, o su sistemi Linux, tramite servizi utente systemd e file avviati automaticamente.

Al di là delle sue operazioni segrete, StripedFly scarica un Monero criptovaluta minatore, utilizzando DNS su HTTPS (DoH) chiede di nascondere la propria presenza. Questo minatore funge da esca, distogliere strategicamente l'attenzione dalle capacità più sinistre del malware e contrastare il software di sicurezza.

Dedizione senza precedenti

Ciò che distingue StripedFly è la sua dedizione alla furtività e all'evasione. Il malware utilizza un tunnel di rete TOR per la comunicazione con i server di comando, utilizzando archivi crittografati personalizzati ospitati su servizi affidabili come GitLab, GitHub, e Bitbucket. Il malware dispone anche di un proprio client TOR leggero, una testimonianza di quanto gli autori delle minacce si siano spinti fino in fondo per nascondere il loro comando e controllo (C2) server.

I repository, agendo come meccanismi di fallback, garantire la continuità del malware anche se il server C2 primario non risponde, mostrando un livello di sofisticazione raramente visto nelle minacce informatiche.

Paralleli con l'exploit EternalBlue

Kaspersky indagine ha svelato intriganti parallelismi tra StripedFly e gli exploit dell'Equation Group, in particolare il famigerato EternalBlue. Questa connessione suggerisce il coinvolgimento di una minaccia persistente avanzata (APT) attore, sollevando domande sulle vere origini e motivazioni dietro la creazione di StripedFly.

Nonostante le prove convincenti, il vero scopo di StripedFly rimane avvolto nel mistero. L'enigma si approfondisce poiché lo stile di codifica del malware rispecchia quello di STRAITBIZARRE (SBZ), una piattaforma di spionaggio associata a un presunto collettivo avversario legato agli Stati Uniti.

Domande senza risposta

Mentre i ricercatori di sicurezza informatica sono alle prese con la natura curiosa di StripedFly, permangono domande sul suo obiettivo finale. Mentre la variante del ransomware ThunderCrypt, condividere significative sovrapposizioni di codice, suggerisce un potenziale motivo commerciale, la progettazione sofisticata e l'implementazione di StripedFly mettono in discussione i presupposti convenzionali sull'intento dietro questo malware avanzato.