StripedFly Malware's geheime cryptocurrency-mijnoperatie

Een geheime en verfijnde soort malware genaamd StripedFly heeft in stilte door de digitale wereld genavigeerd, al meer dan een half decennium aan detectie ontgaan. Kaspersky, de gerenommeerde Russische cybersecurityleverancier, heeft de innerlijke werking van deze verraderlijke malware onthuld. De StripedFly-malware is gecategoriseerd als een geavanceerd modulair raamwerk dat naadloos zowel Linux- als Windows-systemen kan infiltreren.

De sluipende invasie van StripedFly

Aanvankelijk gedetecteerd door Kaspersky in 2017, StripedFly opereert als onderdeel van een grotere entiteit die gebruik maakt van een custom Eternalblue SMBv1-exploit, beroemd geassocieerd met de Equation Group. Deze exploit dient als toegangspoort voor de malware om openbaar toegankelijke systemen te infiltreren, het implementeren van een kwaadaardige shellcode met het vermogen om binaire bestanden te downloaden van externe opslagplaatsen op Bitbucket en PowerShell-scripts uit te voeren.

De complexiteit van de malware wordt benadrukt door de integratie ervan in het legitieme proces wininit.exe, een Windows-initialisatiemechanisme. Beschreven als een monolithische binaire uitvoerbare code, StripedFly is ontworpen om insteekbare modules te ondersteunen, waardoor aanvallers de flexibiliteit krijgen om de functionaliteit naadloos uit te breiden of bij te werken.

Een veelzijdige bedreiging

StripedFly stopt niet bij louter infiltratie; het gaat verder met het uitschakelen van het SMBv1-protocol op geïnfecteerde hosts, het verspreiden van zijn kwaadwilligheid via ontwormingsmodules via zowel SMB als SSH. Doorzettingsvermogen wordt op verschillende manieren bereikt, inclusief wijzigingen in het Windows-register, taakplannervermeldingen, of op Linux-systemen, via systemd-gebruikersservices en automatisch gestarte bestanden.

Naast zijn geheime operaties, StripedFly downloadt een Monero cryptogeld mijnwerker, gebruik van DNS via HTTPS (DoH) verzoeken om zijn aanwezigheid te verbergen. Deze mijnwerker fungeert als lokaas, het strategisch afleiden van de aandacht van de meer sinistere mogelijkheden van de malware en het dwarsbomen van beveiligingssoftware.

Ongekende toewijding

Wat StripedFly onderscheidt is zijn toewijding aan stealth en ontwijking. De malware maakt gebruik van een TOR-netwerktunnel voor communicatie met commandoservers, met behulp van aangepaste gecodeerde archieven die worden gehost op vertrouwde services zoals GitLab, GitHub, en Bitbucket. De malware beschikt zelfs over een eigen lichtgewicht TOR-client, een bewijs van de moeite die de dreigingsactoren hebben gedaan om hun command-and-control te verbergen (C2) server.

De opslagplaatsen, fungeren als terugvalmechanismen, de continuïteit van de malware garanderen, zelfs als de primaire C2-server niet meer reageert, Het toont een niveau van verfijning dat zelden wordt gezien bij cyberdreigingen.

Parallellen met de EternalBlue Exploit

Kaspersky's onderzoek onthulde intrigerende parallellen tussen StripedFly en de exploits van de Equation Group, vooral de beruchte EternalBlue. Dit verband duidt op de betrokkenheid van een geavanceerde aanhoudende dreiging (APT) acteur, vragen oproepen over de ware oorsprong en motieven achter de creatie van StripedFly.

Ondanks het overtuigende bewijs, het echte doel van StripedFly blijft gehuld in mysterie. Het raadsel wordt groter naarmate de codeerstijl van de malware overeenkomt met die van STRAITBIZARRE (SBZ), een spionageplatform dat geassocieerd is met een vermoedelijk aan de VS gelieerd vijandig collectief.

Onbeantwoorde vragen

Terwijl cybersecurity-onderzoekers worstelen met het merkwaardige karakter van StripedFly, Er blijven vragen hangen over het uiteindelijke doel ervan. Terwijl de ransomwarevariant ThunderCrypt, het delen van aanzienlijke code-overlappingen, duidt op een potentieel commercieel motief, Het geavanceerde ontwerp en de inzet van StripedFly stellen conventionele aannames over de bedoeling achter dergelijke geavanceerde malware ter discussie.