Продвинутая разновидность вредоносного ПО, маскирующаяся под майнера криптовалют, более пяти лет оставалась незамеченной, заразив при этом не менее миллиона устройств по всему миру.
Это согласно выводам Kaspersky, который дал угрозе кодовое название StripedFly, описав ее как "сложную модульную платформу, поддерживающую как Linux, так и Windows".
Российский поставщик кибербезопасности, который впервые обнаружил образцы в 2017 году, заявил, что майнер является частью гораздо более крупной организации, которая использует пользовательский эксплойт EternalBlue SMBv1, приписываемый Equation Group, для проникновения в общедоступные системы.
Вредоносный шелл-код, поставляемый с помощью эксплойта, обладает способностью загружать двоичные файлы из удаленного репозитория Bitbucket, а также выполнять сценарии PowerShell. Она также поддерживает набор расширяемых функций, подобных плагинам, для сбора конфиденциальных данных и даже самоустранения.
Шелл-код платформы внедряется в wininit.exe process, легитимный процесс Windows, который запускается менеджером загрузки (BOOTMGR) и обрабатывает инициализацию различных служб.
"Сама полезная нагрузка вредоносного ПО структурирована как монолитный двоичный исполняемый код, предназначенный для поддержки подключаемых модулей для расширения или обновления его функциональности", - сказали исследователи безопасности Сергей Белов, Вилен Камалов и Сергей Ложкин в техническом отчете, опубликованном на прошлой неделе.
"Она оснащена встроенным сетевым туннелем TOR для связи с командными серверами, а также функциями обновления и доставки через надежные сервисы, такие как GitLab, GitHub и Bitbucket, все с использованием пользовательских зашифрованных архивов".
Другие известные шпионские модули позволяют ей собирать учетные данные каждые два часа, незаметно делать скриншоты на устройстве жертвы, записывать ввод с микрофона и запускать обратный прокси-сервер для выполнения удаленных действий.
После успешного закрепления вредоносная программа отключает протокол SMBv1 на зараженном хосте и распространяет вредоносное ПО на другие компьютеры, используя модуль worming как по SMB, так и по SSH, используя ключи, собранные во взломанных системах.
StripedFly обеспечивает сохраняемость либо путем изменения реестра Windows, либо путем создания записей планировщика задач, если установлен интерпретатор PowerShell и доступен административный доступ. В Linux сохранение достигается с помощью пользовательского сервиса systemd, файла autostarted .desktop или путем изменения файлов /etc/rc*, profile, bashrc или inittab.
Также был загружен майнер криптовалюты Monero, который использует DNS вместо запросов HTTPS (DoH) для разрешения серверов пула, добавляя дополнительный уровень скрытности вредоносным действиям. Было подсчитано, что майнер используется в качестве приманки, чтобы программное обеспечение безопасности не смогло раскрыть все возможности вредоносного ПО.
В целях минимизации воздействия компоненты вредоносного ПО, которые могут быть выгружены, размещаются в виде зашифрованных двоичных файлов на различных сервисах размещения репозиториев кода, таких как Bitbucket, GitHub или GitLab.
Например, репозиторий Bitbucket, управляемый субъектом угрозы с июня 2018 года, содержит исполняемые файлы, способные обслуживать начальную полезную нагрузку заражения как в Windows, так и в Linux, проверять наличие новых обновлений и в конечном итоге обновлять вредоносное ПО.
Связь с сервером командования и управления (C2), который размещен в сети TOR, осуществляется с использованием пользовательской, облегченной реализации клиента TOR, которая не основана на каких-либо публично документированных методах.
"Уровень преданности, продемонстрированный этой функциональностью, замечателен", - заявили исследователи. "Цель скрыть сервер C2 любой ценой привела к разработке уникального и трудоемкого проекта – созданию собственного клиента TOR".
Еще одной поразительной особенностью является то, что эти хранилища действуют как резервные механизмы для загрузки вредоносным ПО файлов обновлений, когда его основной источник (т. Е. сервер C2) перестает отвечать.
Kaspersky заявила, что обнаружила семейство программ-вымогателей под названием ThunderCrypt, исходный код которых частично совпадает с StripedFly, за исключением отсутствия модуля заражения SMBv1. Говорят, что ThunderCrypt использовался против целей на Тайване в 2017 году.
Происхождение StripedFly в настоящее время остается неизвестным, хотя сложность фреймворка и его параллели с EternalBlue демонстрируют все признаки продвинутой постоянной угрозы (APT).
Стоит отметить, что, хотя утечка эксплойта EternalBlue от Shadow Brokers произошла 14 апреля 2017 года, самая ранняя идентифицированная версия StripedFly, включающая EternalBlue, датируется 9 апреля 2016 года. После утечки эксплойт EternalBlue был повторно использован северокорейскими и российскими хакерскими группами для распространения вредоносных программ WannaCry и Petya.
Тем не менее, есть также доказательства того, что китайские хакерские группы, возможно, имели доступ к некоторым эксплойтам Equation Group до того, как они просочились в Интернет, как раскрыла Check Point в феврале 2021 года.
Сходство с вредоносным ПО, связанным с Equation group, по словам Касперского, также отражается в стиле кодирования и методах, сходных с теми, которые наблюдались в STRAITBIZARRE (SBZ), другой платформе кибершпионажа, используемой предполагаемой группой противников, связанной с США.
Разработка была начата почти через два года после того, как исследователи из китайской лаборатории Pangu подробно описали бэкдор "высшего уровня" под названием Bvp47, который, как утверждается, был использован Equation Group более чем для 287 целей, охватывающих несколько секторов в 45 странах.
Излишне говорить, что ключевым аспектом кампании, который по-прежнему остается загадкой – кроме тех, кто разработал вредоносное ПО, - является его реальная цель.
"Хотя программа-вымогатель ThunderCrypt предполагает коммерческие мотивы у ее авторов, возникает вопрос, почему они не выбрали потенциально более прибыльный путь", - сказали исследователи.
"Трудно согласиться с мыслью, что такое сложное и профессионально разработанное вредоносное ПО могло служить такой тривиальной цели, учитывая все доказательства обратного".
