StripedFly — сложное вредоносное ПО, которое годами ускользало от обнаружения

Первоначально считавшаяся простой вредоносной программой для майнинга криптовалюты, StripedFly оказалась весьма сложной шпионской платформой, разработанной как для систем Windows, так и для Linux, с ошеломляющим числом зараженных жертв - более 1 миллиона.

Когда StripedFly был впервые обнаружен в 2017 году, его ошибочно отклонили как относительно неэффективное вредоносное ПО для майнинга криптовалют. Однако с тех пор оно оказалось сложным модульным вредоносным ПО, позволяющим киберзлоумышленникам поддерживать постоянное присутствие в сетях, получать полную информацию о своих операциях и при необходимости похищать данные. Хотя он действительно может добывать криптовалюту Monero, его возможности выходят далеко за рамки этого, как обнаружили исследователи безопасности, которые провели тщательное расследование, прежде чем поделиться своими выводами.

По сути, StripedFly теперь считается ярким примером вредоносного ПО с усовершенствованными постоянными угрозами (APT). Он включает в себя встроенный сетевой туннель Tor для связи с серверами управления и контроля (C2), а также механизмы обновления и доставки через доверенные платформы, такие как GitLab, GitHub и Bitbucket, все со специальными зашифрованными архивами.

Более того, исследователи заметили, что StripedFly уже заразил более 1 миллиона систем. Эту информацию они получили из репозитория Bitbucket, связанного с вредоносным ПО, созданным 21 июня 2018 года под учетной записью человека под именем Джули Хейлман. Тот факт, что он оставался незамеченным в течение шести лет, особенно поразителен.

Внутреннее устройство StripedFly

Структура StrippedFly представляет собой монолитный двоичный исполняемый код с подключаемыми модулями, что позволяет злоумышленникам расширять или улучшать его функциональность. Каждый модуль управляет собственной функцией обратного вызова для связи с сервером C2.

При проникновении в сеть StripedFly первоначально появляется как PowerShell, используя эксплойт блокировки сообщений сервера (SMB), который, по-видимому, представляет собой модифицированную версию EternalBlue (утечка в апреле 2017 года) для входа в непропатченные серверы Windows.

Вредоносная программа использует различные методы сохранения, основанные на таких факторах, как доступность интерпретатора PowerShell и привилегии процесса. Как правило, вредоносное ПО запускается с правами администратора при установке через эксплойт и с привилегиями уровня пользователя при доставке через SSH-сервер Cygwin.

Что касается модулей, StripedFly включает три сервисных модуля для хранения конфигурации, обновления и удаления вредоносного ПО, а также обратный прокси-сервер. Кроме того, существует шесть функциональных модулей, которые предоставляют злоумышленникам ряд возможностей. Эти модули включают в себя обработчик различных команд, сборщик учетных данных, повторяемые задачи для создания снимков экрана и записи ввода с микрофона, модуль разведки для сбора системной информации, SMBv1 и SSH-инфекторы для проникновения и возможности, подобные червям.

Исследователи также выявили родственный вариант программы-вымогателя под названием ThunderCrypt, который использует ту же базовую кодовую базу и взаимодействует с тем же сервером C2, что и StripedFly.