StripedFly Kötü Amaçlı Yazılımı 5 Yıl Boyunca Fark Edilmeden Çalışarak 1 Milyon Cihaza Bulaştı - Dünyadan Güncel Teknoloji Haberleri

StripedFly Kötü Amaçlı Yazılımı 5 Yıl Boyunca Fark Edilmeden Çalışarak 1 Milyon Cihaza Bulaştı - Dünyadan Güncel Teknoloji Haberleri

Shadow Brokers’ın EternalBlue açığını sızdırması 14 Nisan 2017’de gerçekleşmiş olsa da, StripedFly’ın EternalBlue’yu içeren en eski tanımlanmış sürümünün tarihi bir yıl öncesine, 9 Nisan 2016’ya kadar uzanıyor Linux’ta kalıcılık, bir systemd kullanıcı hizmeti, otomatik başlatılan exe işlemiönyükleme yöneticisi (BOOTMGR) tarafından başlatılan ve işlemleri yürüten meşru bir Windows işlemidir Ağlamak istiyor Ve Petya kötü amaçlı yazılım

“Aksi yöndeki tüm kanıtlar göz önüne alındığında, bu kadar karmaşık ve profesyonelce tasarlanmış bir kötü amaçlı yazılımın bu kadar önemsiz bir amaca hizmet edeceği fikrini kabul etmek zor

Açıklardan yararlanma yoluyla iletilen kötü amaçlı kabuk kodu, uzak bir Bitbucket deposundan ikili dosyaları indirmenin yanı sıra PowerShell komut dosyalarını yürütme yeteneğine de sahiptir

Örnekleri ilk kez 2017 yılında tespit eden Rus siber güvenlik sağlayıcısı, madencinin, halka açık sistemlere sızmak için Equation Group’a atfedilen özel bir EternalBlue SMBv1 istismarını kullanan çok daha büyük bir kuruluşun parçası olduğunu söyledi “C2 sunucusunu ne pahasına olursa olsun gizleme hedefi, benzersiz ve zaman alıcı bir projenin geliştirilmesine yol açtı: kendi TOR istemcisinin yaratılması

Çerçevenin karmaşıklığı ve EternalBlue ile paralelliği gelişmiş bir kalıcı tehdit (APT) aktörünün tüm özelliklerini sergilemesine rağmen StripedFly’ın kökenleri şu anda bilinmiyor

Kaspersky, Equation grubuyla ilişkili kötü amaçlı yazılımlarla benzerliklerin aynı zamanda kodlama stiline ve Equation’da görülenlere benzer uygulamalara da yansıdığını söyledi

Bu gelişme, Çin’deki Pangu Laboratuvarı’ndan araştırmacıların, Equation Group tarafından 45 ülkede birden fazla sektörü kapsayan 287’den fazla hedef üzerinde kullanıldığı iddia edilen Bvp47 adlı “üst düzey” bir arka kapıyı ayrıntılarıyla açıklamasından yaklaşık iki yıl sonra gerçekleşti

Ayak izini en aza indirmek amacıyla, boşaltılabilen kötü amaçlı yazılım bileşenleri, Bitbucket, GitHub veya GitLab gibi çeşitli kod deposu barındırma hizmetlerinde şifrelenmiş ikili dosyalar olarak barındırılır ”

Bir diğer çarpıcı özellik ise bu depoların, kötü amaçlı yazılımın birincil kaynağı (yani C2 sunucusu) yanıt vermediğinde güncelleme dosyalarını indirmesi için geri dönüş mekanizmaları görevi görmesidir ” söz konusu Geçen hafta yayınlanan teknik bir raporda

Güvenlik araştırmacıları Sergey Belov, Vilen Kamalov ve Sergey Lozhkin, “Kötü amaçlı yazılım yükünün kendisi, işlevselliğini genişletmek veya güncellemek için takılabilir modülleri desteklemek üzere tasarlanmış monolitik bir ikili yürütülebilir kod olarak yapılandırılmıştır

Bu, tehdide kod adı veren Kaspersky’nin bulgularına göre ÇizgiliFlybunu “hem Linux hem de Windows’u destekleyen karmaşık bir modüler çerçeve” olarak tanımlıyor

“Komut sunucularıyla iletişim için yerleşik bir TOR ağ tünelinin yanı sıra, tamamı özel şifreli arşivler kullanan GitLab, GitHub ve Bitbucket gibi güvenilir hizmetler aracılığıyla güncelleme ve dağıtım işlevselliği ile donatılmış olarak geliyor Kuzey Koreli ve Rus bilgisayar korsanlığı ekipleri tarafından, virüsü yaymak için yeniden tasarlandı

Kaspersky ayrıca, SMBv1 enfeksiyon modülünün bulunmaması dışında StripedFly ile önemli kaynak kodu örtüşmelerini paylaşan ThunderCrypt adlı bir fidye yazılımı ailesini ortaya çıkardığını söyledi

Platformun kabuk kodu enjekte edilir wininit başlatma ile ilgili çeşitli hizmetler desktop dosyası aracılığıyla veya /etc/rc*, profile, bashrc veya inittab dosyalarını değiştirerek gerçekleştirilir

Söylemeye gerek yok, kampanyanın -kötü amaçlı yazılımı tasarlayanlar dışında- bir sır olarak kalmaya devam eden önemli bir yönü, gerçek amacıdır Sızıntıdan bu yana, EternalBlue istismarı gerçekleştirildi ÇOK TUHAF (SBZ), bir diğer siber casusluk platformu ABD bağlantılı olduğundan şüphelenilen düşman kolektifi tarafından kullanılıyor

Araştırmacılar, “ThunderCrypt fidye yazılımı, yazarları için ticari bir amaç öne sürerken, bunun yerine neden potansiyel olarak daha kazançlı yolu seçmedikleri sorusunu gündeme getiriyor” dedi

Bununla birlikte, Check Point’in Şubat 2021’de açıkladığı gibi, Çinli bilgisayar korsanlığı gruplarının Equation Group’un bazı açıklarına, bunlar çevrimiçi olarak sızdırılmadan önce erişmiş olabileceğine dair kanıtlar da mevcut ”

Diğer önemli casus modülleri, her iki saatte bir kimlik bilgilerini toplamasına, kurbanın cihazında tespit edilmeden ekran görüntüleri yakalamasına, mikrofon girişini kaydetmesine ve uzaktan eylemleri gerçekleştirmek için bir ters proxy başlatmasına olanak tanıyor Madencinin, güvenlik yazılımının kötü amaçlı yazılımın tüm yeteneklerini keşfetmesini önlemek için bir tuzak olarak kullanıldığı değerlendirildi

Araştırmacılar, “Bu işlevselliğin gösterdiği bağlılık dikkat çekicidir” dedi ThunderCrypt’in 2017 yılında Tayvan’daki hedeflere karşı kullanıldığı söyleniyor

TOR ağında barındırılan komut ve kontrol (C2) sunucusuyla iletişim, kamuya açıklanmış herhangi bir yönteme dayanmayan, TOR istemcisinin özel, hafif bir uygulaması kullanılarak gerçekleştirilir

Örneğin, Haziran 2018’den bu yana tehdit aktörü tarafından işletilen Bitbucket deposu, hem Windows hem de Linux’ta ilk enfeksiyon yükünü sunabilen, yeni güncellemeleri kontrol edebilen ve sonuçta kötü amaçlı yazılımı güncelleyebilen yürütülebilir dosyalar içeriyor

Başarılı bir tutunma noktası elde ettikten sonra kötü amaçlı yazılım, bulaştığı ana bilgisayardaki SMBv1 protokolünü devre dışı bırakır ve saldırıya uğrayan sistemlerden toplanan anahtarları kullanarak hem SMB hem de SSH aracılığıyla bir solucan modülü kullanarak kötü amaçlı yazılımı diğer makinelere yayar


Kripto para madencisi kılığına giren gelişmiş bir kötü amaçlı yazılım türü, beş yılı aşkın süredir radarı uçurmayı başardı ve bu süreçte dünya çapında en az bir milyondan fazla cihaza bulaştı ”



siber-2

StripedFly, Windows Kayıt Defterini değiştirerek veya PowerShell yorumlayıcısı yüklüyse ve yönetim erişimi mevcutsa görev zamanlayıcı girişleri oluşturarak kalıcılığa ulaşır

Ayrıca indirilen, havuz sunucularını çözmek için HTTPS üzerinden DNS (DoH) isteklerini kullanan ve kötü niyetli faaliyetlere ekstra bir gizlilik katmanı ekleyen bir Monero kripto para madencisidir Ayrıca hassas verileri toplamak ve hatta kendisini kaldırmak için eklenti benzeri genişletilebilir özellikler koleksiyonunu da destekler