StripedFly マルウェアによる秘密の暗号通貨マイニング活動

秘密の洗練された系統 マルウェア StripedFly という名前は、静かにデジタル領域をナビゲートしました, 5年以上検出されなかった. カスペルスキー, ロシアの有名なサイバーセキュリティベンダー, この狡猾なマルウェアの内部動作を明らかにしました. StripedFly マルウェアは、Linux と Windows システムの両方にシームレスに侵入できる高度なモジュール式フレームワークとして分類されています。.

StripedFly の密かな侵入

カスペルスキーによって最初に検出されたのは、 2017, StripedFly は、カスタムの EternalBlue SMBv1 エクスプロイト, 方程式グループとの関連で有名. このエクスプロイトは、マルウェアが公的にアクセス可能なシステムに侵入するためのゲートウェイとして機能します。, Bitbucket 上のリモート リポジトリからバイナリ ファイルをダウンロードし、PowerShell スクリプトを実行できる悪意のあるシェルコードをデプロイする.

このマルウェアの複雑さは、正規の wininit.exe プロセスへの統合によって強調されます。, Windows の初期化メカニズム. モノリシックなバイナリ実行可能コードとして記述される, StripedFly は、プラグ可能なモジュールをサポートするように設計されています, 攻撃者にその機能をシームレスに拡張または更新できる柔軟性を提供します。.

多面的な脅威

StripedFly は単なる侵入にとどまりません; 感染したホスト上の SMBv1 プロトコルを無効にします。, SMB と SSH の両方を介してワーム モジュールを通じて悪意を拡散します。. 持続性はさまざまな手段によって達成されます, Windows レジストリの変更を含む, タスクスケジューラのエントリ, または Linux システム上で, systemd ユーザーサービスと自動起動ファイル経由.

秘密作戦を超えて, StripedFly は Monero をダウンロードします 暗号通貨マイナー, DNS over HTTPS を利用する (DoH) その存在を隠すよう要求する. このマイナーは囮として機能します, マルウェアのより邪悪な機能から戦略的に注意をそらし、セキュリティ ソフトウェアを阻止する.

前例のない献身

StripedFly を際立たせているのは、ステルス性と回避性への献身です。. このマルウェアは、コマンド サーバーとの通信に TOR ネットワーク トンネルを使用します。, GitLab などの信頼できるサービスでホストされているカスタム暗号化アーカイブを使用する, GitHub, とビットバケット. このマルウェアは独自の軽量 TOR クライアントも備えています, 脅威アクターが自分たちの指揮統制を隠すためにどれほどの努力をしてきたかの証拠 (C2) サーバ.

リポジトリ, フォールバックメカニズムとして機能する, プライマリ C2 サーバーが応答しなくなった場合でも、マルウェアの継続性を確保します。, サイバー脅威ではめったに見られない高度なレベルを示しています.

EternalBlue エクスプロイトと類似

カスペルスキー 調査 StripedFly と Equation Group のエクスプロイト間の興味深い類似点が明らかになりました, 特に悪名高きEternalBlue. この関係は、高度で持続的な脅威の関与を示唆しています (APT) 俳優, StripedFly の作成の背後にある本当の起源と動機について疑問が生じています.

説得力のある証拠があるにもかかわらず, StripedFlyの本当の目的は謎に包まれたままです. マルウェアのコーディングスタイルがSTRAITBIZARREのコーディングスタイルを反映しているため、謎は深まる (SBZ), 米国と関連があると疑われる敵対集団に関連するスパイ活動プラットフォーム.

答えのない質問

サイバーセキュリティ研究者が StripedFly の奇妙な性質に取り組む中, その最終的な目的については疑問が残る. 一方、ランサムウェアの亜種 ThunderCrypt, 重要なコードの重複を共有する, 潜在的な商業的動機を示唆する, StripedFly の洗練された設計と展開は、このような高度なマルウェアの背後にある意図についての従来の想定に疑問を投げかけます。.