隐藏在挖矿木马外衣下的StripedFly APT组织，感染百万台Windows、Linux 主机

导读

一个名为StripedFly的复杂跨平台恶意软件在网络安全研究人员的眼皮底下活跃了五年，在此期间感染了超过一百万个Windows和Linux系统。

卡巴斯基去年发现StripedFly恶意软件框架的真实意图，发现其从2017年开始活动的证据，该恶意软件被世界各地的安全研究人员错误地归类为门罗币挖矿木马。

分析师将StripedFly描述为令人印象深刻，具有复杂的基于TOR的流量隐藏机制，来自受信任平台的自动更新，类似蠕虫的传播功能，以及在公开披露漏洞之前创建的自定义EternalBlue SMBv1漏洞。

虽然目前还不清楚这种恶意软件框架是否被用于创收或网络间谍活动，但卡巴斯基表示，其复杂性表明这是一种APT（高级持续威胁）恶意软件。

根据恶意软件的编译器时间戳，已知最早的具有 EternalBlue 漏洞利用的 StripedFly 版本可追溯到 2016 年 4 月，而影子经纪人组织的公开泄密发生在 2016 年 8 月。

StripedFly恶意软件框架是在卡巴斯基发现该平台的shellcode注入到WININI.EXE T进程中后首次发现的，WININIT进程是一个合法的Windows操作系统进程，用于处理各种子系统的初始化。

在调查了注入的代码后，他们确定它从Bitbucket，GitHub和GitLab等合法托管服务（包括PowerShell脚本）下载并执行其他文件，例如PowerShell脚本。

进一步的调查表明，受感染的设备可能首先使用针对互联网暴露计算机的自定义EternalBlue SMBv1漏洞进行破坏。

最终的StripedFly有效载荷（system.img）具有定制的轻量级TOR网络客户端，以保护其网络通信免受拦截，能够禁用SMBv1协议，并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。

该恶意软件的命令和控制（C2）服务器位于 TOR 网络上，与其通信涉及包含受害者唯一 ID 的频繁信标消息。

StripedFly的感染链（卡巴斯基）

为了在Windows系统上实现持久性，StripedFly会根据其运行的特权级别和PowerShell的存在来调整其行为。

如果没有PowerShell，它会在%APPDATA%目录中生成一个隐藏文件。在PowerShell可用的情况下，它会行用于创建计划任务或修改Windows注册表项的脚本。

在Linux上，恶意软件的名称为“sd-pam”。它使用 systemd 服务、自动启动的 .desktop 文件或通过修改各种配置文件和启动文件（如 /etc/rc*、profile、bashrc 或 inittab 文件）来实现持久性。

在 Windows 系统上提供最后阶段有效负载的 Bitbucket 存储库表明，在 2023 年 4 月至 2023 年 9 月期间，已有近 60,000 次系统感染。

据估计，自 2022 年 2 月以来，StripedFly 至少感染了 220,000 个 Windows 系统，但该日期之前的统计数据不可用，该存储库是在 2018 年创建的。

自 2023 年 4 月以来的有效负载下载计数（卡巴斯基）

卡巴斯基估计有超过100万台设备受到StripedFly框架的感染。

该恶意软件作为具有可插拔插件模块的二进制可执行文件运行，使其具备与APT 操作相关的各项功能。

以下是卡巴斯基报告中StripedFly模块的摘要：

门罗币挖矿模块的存在被认为是一种转移视线掩盖意图的尝试，攻击者的真正目标是数据盗窃和由其他模块促进的系统利用。

“该恶意软件框架的有效载荷包含多个模块，使攻击者能够作为APT武器，加密矿工，甚至勒索软件组执行。”卡巴斯基的报告中写道。

卡巴斯基专家强调，该恶意软件框架具有挖矿模块是使其能够长时间隐藏在安全研究者的视线之外的主要因素。

完整的技术报告可参考：https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/

参考链接：https://www.bleepingcomputer.com/news/security/stripedfly-malware-framework-infects-1-million-windows-linux-hosts/

推荐站内搜索：最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……

还没有评论，来说两句吧...