StripedFly Kötü Amaçlı Yazılımı 5 Yıl Boyunca Fark Edilmeden Çalıştı ve 1 Milyon Cihaza Bulaştı

Bu, tehdidi StripedFly kod olarak adlandıran ve onu "hem Linux hem de Windows'u destekleyen karmaşık bir modüler çerçeve" olarak tanımlayan Kaspersky'nin bulgularına göre.

Örnekleri ilk olarak 2017'de tespit eden Rus siber güvenlik satıcısı, madencinin, halka açık sistemlere sızmak için Equation Group'a atfedilen özel bir EternalBlue SMBv1 istismarı kullanan çok daha büyük bir varlığın parçası olduğunu söyledi.

İstismar yoluyla teslim edilen kötü amaçlı kabuk kodu, uzak bir Bitbucket deposundan ikili dosyaları indirme ve PowerShell komut dosyalarını yürütme yeteneğine sahiptir. Ayrıca, hassas verileri toplamak ve hatta kendini kaldırmak için eklenti benzeri genişletilebilir özellikler koleksiyonunu da destekler.

Platformun kabuk kodu, önyükleme yöneticisi (BOOTMGR) tarafından başlatılan ve çeşitli hizmetlerin başlatılmasını işleyen meşru bir Windows işlemi olan wininit.exe işlemine enjekte edilir.

Güvenlik araştırmacıları Sergey Belov, Vilen Kamalov ve Sergey Lozhkin, geçen hafta yayınlanan teknik bir raporda, "Kötü amaçlı yazılım yükünün kendisi, işlevselliğini genişletmek veya güncellemek için takılabilir modülleri desteklemek üzere tasarlanmış monolitik bir ikili yürütülebilir kod olarak yapılandırılmıştır" dedi.

"Komut sunucularıyla iletişim için yerleşik bir TOR ağ tünelinin yanı sıra GitLab, GitHub ve Bitbucket gibi güvenilir hizmetler aracılığıyla güncelleme ve teslim işlevselliği ile donatılmıştır ve tümü özel şifreli arşivler kullanır."

Diğer önemli casus modülleri, her iki saatte bir kimlik bilgilerini toplamasına, kurbanın cihazında tespit edilmeden ekran görüntüleri yakalamasına, mikrofon girişini kaydetmesine ve uzak eylemleri yürütmek için bir ters proxy başlatmasına olanak tanır.

Başarılı bir yer edindikten sonra, kötü amaçlı yazılım, virüslü ana bilgisayardaki SMBv1 protokolünü devre dışı bırakmaya ve saldırıya uğramış sistemlerde toplanan anahtarları kullanarak hem SMB hem de SSH aracılığıyla bir solucan modülü kullanarak kötü amaçlı yazılımı diğer makinelere yaymaya devam eder.

StripedFly, Windows Kayıt Defterini değiştirerek veya PowerShell yorumlayıcısı yüklüyse ve yönetici erişimi mevcutsa görev zamanlayıcı girişleri oluşturarak kalıcılık sağlar. Linux'ta kalıcılık, bir systemd kullanıcı hizmeti, otomatik başlatılan .desktop dosyası aracılığıyla veya /etc/rc*, profile, bashrc veya inittab dosyalarını değiştirerek gerçekleştirilir.

Ayrıca, havuz sunucularını çözmek için HTTPS (DoH) istekleri üzerinden DNS'den yararlanan ve kötü amaçlı faaliyetlere ekstra bir gizlilik katmanı ekleyen bir Monero kripto para madencisi de indirilir. Madencinin, güvenlik yazılımının kötü amaçlı yazılımın yeteneklerinin tamamını keşfetmesini önlemek için bir yem olarak kullanıldığı değerlendirildi.

Ayak izini en aza indirmek amacıyla, boşaltılabilen kötü amaçlı yazılım bileşenleri, Bitbucket, GitHub veya GitLab gibi çeşitli kod deposu barındırma hizmetlerinde şifrelenmiş ikili dosyalar olarak barındırılır.

Örneğin, Haziran 2018'den beri tehdit aktörü tarafından işletilen Bitbucket deposu, hem Windows hem de Linux'ta ilk bulaşma yükünü sunabilen, yeni güncellemeleri kontrol edebilen ve nihayetinde kötü amaçlı yazılımı güncelleyebilen yürütülebilir dosyalar içerir.

TOR ağında barındırılan komuta ve kontrol (C2) sunucusuyla iletişim, kamuya açık olarak belgelenmiş herhangi bir yönteme dayanmayan bir TOR istemcisinin özel, hafif bir uygulaması kullanılarak gerçekleşir.

Araştırmacılar, "Bu işlevsellik tarafından gösterilen özveri düzeyi dikkat çekicidir" dedi. "C2 sunucusunu ne pahasına olursa olsun gizleme hedefi, benzersiz ve zaman alıcı bir projenin geliştirilmesini sağladı - kendi TOR istemcisinin oluşturulması."

Bir diğer çarpıcı özellik ise, bu depoların, kötü amaçlı yazılımın birincil kaynağı (yani C2 sunucusu) yanıt vermediğinde güncelleme dosyalarını indirmesi için geri dönüş mekanizmaları olarak hareket etmesidir.

Kaspersky, SMBv1 enfeksiyon modülünün yokluğunu engelleyen StripedFly ile önemli kaynak kodu örtüşmelerini paylaşan ThunderCrypt adlı bir fidye yazılımı ailesini daha da ortaya çıkardığını söyledi. ThunderCrypt'in 2017 yılında Tayvan'daki hedeflere karşı kullanıldığı söyleniyor.

StripedFly'ın kökenleri şu anda bilinmemektedir, ancak çerçevenin karmaşıklığı ve EternalBlue ile paralellikleri, gelişmiş bir kalıcı tehdit (APT) aktörünün tüm özelliklerini sergilemektedir.

Shadow Brokers'ın EternalBlue istismarını sızdırması 14 Nisan 2017'de gerçekleşirken, StripedFly'ın EternalBlue'yu içeren en eski tanımlanmış sürümünün bir yıl öncesine dayandığını belirtmekte fayda var. Sızıntıdan bu yana, EternalBlue istismarı, WannaCry ve Petya kötü amaçlı yazılımını yaymak için Kuzey Koreli ve Rus bilgisayar korsanlığı ekipleri tarafından yeniden tasarlandı.

Bununla birlikte, Check Point tarafından Şubat 2021'de açıklandığı üzere, Çinli bilgisayar korsanlığı gruplarının Equation Group'un bazı istismarlarına çevrimiçi olarak sızdırılmadan önce erişmiş olabileceğine dair kanıtlar da var.

Kaspersky, Equation grubuyla ilişkili kötü amaçlı yazılımlarla olan benzerliklerin, ABD bağlantılı olduğundan şüphelenilen düşman kolektif tarafından kullanılan başka bir siber casusluk platformu olan STRAITBIZARRE'da (SBZ) görülenlere benzeyen kodlama stiline ve uygulamalarına da yansıdığını söyledi.

Gelişme, Çin'in Pangu Laboratuvarı'ndan araştırmacıların, Equation Group tarafından 47 ülkede birden fazla sektörü kapsayan 287'den fazla hedefte kullanıldığı iddia edilen Bvp45 adlı "üst düzey" bir arka kapıyı detaylandırmasından yaklaşık iki yıl sonra geldi.

Söylemeye gerek yok, kampanyanın bir gizem olmaya devam eden çok önemli bir yönü - kötü amaçlı yazılımı tasarlayanlar dışında - gerçek amacıdır.

Araştırmacılar, "ThunderCrypt fidye yazılımı, yazarları için ticari bir neden önerse de, bunun yerine neden potansiyel olarak daha kazançlı yolu seçmedikleri sorusunu gündeme getiriyor" dedi.

"Bu kadar karmaşık ve profesyonelce tasarlanmış kötü amaçlı yazılımların, aksi yöndeki tüm kanıtlar göz önüne alındığında, bu kadar önemsiz bir amaca hizmet edeceği fikrini kabul etmek zor."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği