卡巴斯基专家发现了一种以前未知的且高度复杂的 StripedFly 恶意软件,至少自2017年以来,该恶意软件在全球范围内影响了超过100万名受害者。该恶意软件最初是一个加密货币挖矿程序,后来发现它是一个复杂的恶意软件,具有多功能蠕虫框架。
2022年,卡巴斯基全球研究与分析团队在WINNIT.EXE进程中遇到过两次出人意料的检测结果,这些结果都是由早些时候在 Equation 恶意软件中观察到的代码序列触发的。StripedFly的活动至少自2017年以来一直在进行,并且有效地规避了先前的分析,此前被错误地归类为加密货币挖矿程序。在对该问题进行全面检查后,我们发现加密货币挖矿软件只是一个更大的实体的组成部分——即一个复杂的、多平台的、多插件的恶意框架。
该恶意软件的有效载荷包括多个模块,使威胁行为者能够将其作为APT、挖矿程序,甚至勒索软件使用,从而有可能将其攻击动机从为了获取经济利益而扩展到网络间谍活动。值得注意的是,该模块挖掘到的门罗币加密货币在 2018 年 1 月 9 日达到 542.33 美元的峰值,而 2017 年的价值约为 10 美元。截至 2023 年,其价值一直保持在 150 美元左右。卡巴斯基专家强调,挖矿模块是该恶意软件能够长期逃避检测的主要因素。
这次行动背后的攻击者已经获得了秘密监视受害者的广泛能力。恶意软件每两小时收集一次凭据,窃取敏感数据,如网站和 WIFI 登录凭证,同时还有受害者的个人数据,例如他们的姓名、地址、电话号码、公司以及职位。此外,该恶意软件可以在不被发现的情况下截获受害者设备上的屏幕截图,获得对机器的重要控制,甚至记录麦克风输入内容。
该恶意软件的最初感染媒介一直未知,直到卡巴斯基的进一步调查发现使用定制的EternalBlue“SMBv1”漏洞入侵受害者的系统。尽管 EternalBlue 漏洞已于2017年公开披露,微软随后也发布了补丁(被命名为MS17-010),但由于许多用户仍未更新操作系统,该漏洞带来的威胁仍然很大。
在对这次的恶意活动进行技术分析期间,卡巴斯基专家观察到该恶意软件与Equation恶意软件存在相似之处。其中包括技术指标,如与Equation恶意软件相关的签名以及与StraitBizzare (SBZ)恶意软件相似的代码风格和做法。根据托管恶意软件的存储库显示的下载计数量,估计StripedFly在全球的受害者数量超过100万。
“为创建这个框架所投入的精力非常惊人,它的披露也非常惊人。该威胁行为者的适应能力和演化能力是一个持续的挑战,这就是为什么我们作为研究人员继续致力于发现和揭示复杂的网络威胁是如此重要,同样重要的是,客户也不要忽略获得全方位的保护,”卡巴斯基全球研究与分析团队(GReAT)首席安全研究员Sergey Lozhkin评论说。
为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
定期更新您的操作系统、应用程序和反病毒软件,以消除所有已知的漏洞。
谨慎处理要求您提供敏感信息的电子邮件、短信或来电。在分享任何个人信息或点击可疑链接之前,请核实发件人或对方身份。
为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力
为了实现端点级别的检测、响应和及时的事件修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
本文作者可以追加内容哦 !
