Een geavanceerde vorm van malware, die zich voordoet als een cryptocurrency-mijnwerker, is er al meer dan vijf jaar in geslaagd om op de radar te blijven en daarbij niet minder dan een miljoen apparaten over de hele wereld te infecteren.
Dat blijkt uit bevindingen van Kaspersky, die de dreiging de codenaam heeft gegeven GestreepteVliegen beschrijft het als een “ingewikkeld modulair raamwerk dat zowel Linux als Windows ondersteunt.”
De Russische cyberbeveiligingsleverancier, die de monsters voor het eerst in 2017 ontdekte, zei dat de mijnwerker deel uitmaakt van een veel grotere entiteit die gebruik maakt van een aangepaste EternalBlue SMBv1-exploit toegeschreven aan de Equation Group om publiek toegankelijke systemen te infiltreren.
De kwaadaardige shellcode, geleverd via de exploit, heeft de mogelijkheid om binaire bestanden te downloaden van een externe Bitbucket-repository en om PowerShell-scripts uit te voeren. Het ondersteunt ook een verzameling plug-inachtige uitbreidbare functies om gevoelige gegevens te verzamelen en zichzelf zelfs te verwijderen.
De shellcode van het platform wordt geïnjecteerd in het proces wininit.exe, een legitiem Windows-proces dat wordt gestart door de opstartmanager (BOOTMGR) en de initialisatie van verschillende services afhandelt.
“De malware-payload zelf is gestructureerd als een monolithische binaire uitvoerbare code die is ontworpen om plug-in modules te ondersteunen om de functionaliteit uit te breiden of te updaten”, zeiden beveiligingsonderzoekers Sergey Belov, Vilen Kamalov en Sergey Lozhkin in een technisch rapport dat vorige week werd gepubliceerd.
“Het is uitgerust met een ingebouwde TOR-netwerktunnel voor communicatie met commandoservers, samen met update- en leveringsfunctionaliteit via vertrouwde services zoals GitLab, GitHub en Bitbucket, allemaal met behulp van op maat gemaakte gecodeerde archieven.”
Met andere opmerkelijke spionagemodules kan het elke twee uur inloggegevens verzamelen, zonder detectie screenshots maken op het apparaat van het slachtoffer, microfooninvoer opnemen en een reverse proxy starten om acties op afstand uit te voeren.
Nadat de malware succesvol voet aan de grond heeft gekregen, schakelt hij het SMBv1-protocol op de geïnfecteerde host uit en verspreidt hij de malware naar andere machines met behulp van een ontwormingsmodule via zowel SMB als SSH, met behulp van sleutels die op de gehackte systemen zijn verzameld.
StripedFly bereikt persistentie door het Windows-register te wijzigen of door taakplannervermeldingen te maken als de PowerShell-interpreter is geïnstalleerd en beheerderstoegang beschikbaar is. Op Linux wordt persistentie bereikt door middel van een systemd-gebruikersservice, een automatisch gestart .desktop-bestand, of door het wijzigen van /etc/rc*-, profile-, bashrc- of inittab-bestanden.
Ook gedownload is een Monero-cryptocurrency-miner die DNS via HTTPS (DoH)-verzoeken gebruikt om de poolservers op te lossen, waardoor een extra laag van stealth wordt toegevoegd aan de kwaadaardige activiteiten. Er is vastgesteld dat de mijnwerker wordt gebruikt als lokmiddel om te voorkomen dat beveiligingssoftware de volledige omvang van de mogelijkheden van de malware ontdekt.
In een poging om de voetafdruk te minimaliseren, worden malwarecomponenten die kunnen worden uitgeladen, gehost als gecodeerde binaire bestanden op verschillende hostingdiensten voor codeopslagplaatsen, zoals Bitbucket, GitHub of GitLab.
De Bitbucket-repository die sinds juni 2018 door de bedreigingsacteur wordt beheerd, bevat bijvoorbeeld uitvoerbare bestanden die de initiële infectielast op zowel Windows als Linux kunnen verwerken, kunnen controleren op nieuwe updates en uiteindelijk de malware kunnen bijwerken.
De communicatie met de command-and-control (C2)-server, die wordt gehost in het TOR-netwerk, vindt plaats met behulp van een aangepaste, lichtgewicht implementatie van een TOR-client die niet is gebaseerd op openbaar gedocumenteerde methoden.
“Het niveau van toewijding dat deze functionaliteit laat zien is opmerkelijk”, aldus de onderzoekers. “Het doel om de C2-server koste wat het kost te verbergen was de drijvende kracht achter de ontwikkeling van een uniek en tijdrovend project: de creatie van een eigen TOR-client.”
Een ander opvallend kenmerk is dat deze repository’s fungeren als terugvalmechanismen voor de malware om de updatebestanden te downloaden wanneer de primaire bron (dwz de C2-server) niet meer reageert.
Kaspersky zei dat het verder een ransomwarefamilie heeft ontdekt, genaamd ThunderCrypt, die aanzienlijke overlappingen in de broncode deelt met StripedFly, behoudens de afwezigheid van de SMBv1-infectiemodule. ThunderCrypt zou in 2017 zijn gebruikt tegen doelen in Taiwan.
De oorsprong van StripedFly blijft momenteel onbekend, hoewel de verfijning van het raamwerk en de parallellen ervan met EternalBlue alle kenmerken vertonen van een geavanceerde persistente dreiging (APT).
Het is de moeite waard erop te wijzen dat hoewel het lek van de EternalBlue-exploit door Shadow Brokers plaatsvond op 14 april 2017, de vroegst geïdentificeerde versie van StripedFly waarin EternalBlue is opgenomen een jaar terug dateert van 9 april 2016. Sinds het lek is de EternalBlue-exploit hergebruikt door Noord-Koreaanse en Russische hackers om de WannaCry- en Petya-malware te verspreiden.
Dat gezegd hebbende, zijn er ook aanwijzingen dat Chinese hackgroepen mogelijk toegang hebben gehad tot enkele van de exploits van de Equation Group voordat deze online lekten, zoals onthuld door Check Point in februari 2021.
De overeenkomsten met malware geassocieerd met de Equation-groep, zegt Kaspersky, worden ook weerspiegeld in de codeerstijl en -praktijken die lijken op die van STRAITBIZARRE (SBZ), een ander cyberspionageplatform dat wordt gebruikt door het vermoedelijk aan de VS gelinkte vijandige collectief.
De ontwikkeling komt bijna twee jaar nadat onderzoekers van het Chinese Pangu Lab een ‘top-tier’ achterdeur hebben beschreven, genaamd Bvp47, die naar verluidt door de Equation Group is gebruikt voor meer dan 287 doelen in meerdere sectoren in 45 landen.
Onnodig te zeggen dat een cruciaal aspect van de campagne, dat nog steeds een mysterie blijft – behalve voor degenen die de malware hebben ontwikkeld – het werkelijke doel ervan is.
“Hoewel de ThunderCrypt-ransomware een commercieel motief voor de auteurs suggereert, roept het de vraag op waarom ze niet voor het potentieel lucratiever pad kozen”, aldus de onderzoekers.
“Het is moeilijk om het idee te aanvaarden dat dergelijke geavanceerde en professioneel ontworpen malware zo’n triviaal doel zou dienen, gezien al het bewijs dat het tegendeel beweert.”
