マルチライセンス割引
Threat Database Malware StripedFly マルウェア

StripedFly マルウェア

Malware, StealersMezoまで
翻訳内容:
日本語

サイバーセキュリティの専門家は、これまで情報セキュリティ コミュニティには知られていなかった、StripedFly と呼ばれる非常に高度なマルウェアを発見しました。このマルウェアは、少なくとも 2017 年以降、100 万人以上の被害者をターゲットにし、世界的な影響を及ぼしてきました。当初は仮想通貨マイニング ツールを装っていましたが、多面的で自己増殖するフレームワークを特徴とする複雑で多用途のマルウェアであることが明らかになりました。 。

StripedFly は 100 万以上のシステムに感染した可能性がある

StripedFly マルウェア フレームワークは、さまざまなサブシステムの起動を担当する Windows OS の正当なコンポーネントである WININIT.EXE プロセス内にその存在が特定された研究者による検出後に明らかになりました。

挿入されたコードを詳しく調べると、StripedFly が Bitbucket、GitHub、GitLab などの正規のホスティング プラットフォームから追加ファイル、特に PowerShell スクリプトのダウンロードと実行を開始していることが明らかになりました。さらなる分析により、このマルウェアは、主にインターネットに公開されたコンピュータをターゲットとして、EternalBlue SMBv1 脆弱性のカスタマイズされたエクスプロイトを通じてデバイスに侵入した可能性があることが判明しました。

「system.img」という名前の最終的な StripedFly ペイロードには、ネットワーク通信を傍受から保護するための独自の軽量 TOR ネットワーク クライアントが含まれています。また、SMBv1 プロトコルを非アクティブ化し、SSH と EternalBlue を使用してネットワーク上の他の Windows および Linux デバイスに自身を伝播する機能も備えています。 StripedFly のコマンド アンド コントロール (C2、C&C) サーバーは TOR ネットワーク内で動作し、一意の被害者 ID を含む頻繁なビーコン メッセージを通じて通信を維持します。

Windows システム上で永続性を確立するために、StripedFly は特権レベルと PowerShell の存在に基づいてアプローチを適応させます。 PowerShell が存在しない場合、%APPDATA% ディレクトリに隠蔽ファイルが生成されます。 PowerShell が利用可能な場合、マルウェアはスクリプトを実行して、スケジュールされたタスクを作成するか、Windows レジストリ キーを変更します。

Linux では、StripedFly は「sd-pam」という名前を採用します。このプラットフォームでの永続性は、systemd サービス、.desktop ファイルの自動起動、または /etc/rc*、profile、bashrc、inittab ファイルなどのさまざまなプロファイルおよび起動ファイルを変更することによって実現されます。

Windows システムへの最終段階のペイロードの配信を担当する Bitbucket リポジトリのデータによると、2023 年 4 月から 2023 年 9 月までの間に、60,000 近くのシステムが StripedFly に感染したことが示唆されています。ただし、StripedFly フレームワークの影響を受けるデバイスの総数は 100 万を超える可能性があると研究者は推定しています。

StripedFly マルウェアで多数の特殊なモジュールが見つかる

このマルウェアは、適応可能なモジュールを備えた単一の自己完結型バイナリ実行可能ファイルとして設計されており、通常、Advanced Persistent Threat (APT) 操作に関連する操作上の柔軟性を提供します。

  • 構成ストレージ: このモジュールは、暗号化されたマルウェア構成を安全に保管します。
  • アップグレード/アンインストール: コマンド アンド コントロール (C2) サーバーから受信したコマンドに基づいて、更新または削除を管理します。
  • リバース プロキシ: 被害者のネットワーク内でのリモート アクションを有効にします。
  • その他のコマンド ハンドラー: スクリーンショットのキャプチャやシェルコードの実行など、さまざまなコマンドを実行します。
  • Credential Harvester: パスワードやユーザー名などの機密ユーザー データをスキャンして取得します。
  • 反復可能なタスク: マイクからの音声の録音など、事前定義された条件下で特定のタスクを実行します。
  • Recon モジュール: 包括的なシステム情報を C2 サーバーに送信します。
  • SSH Infector: 収集した SSH 認証情報を利用して他のシステムに侵入します。
  • SMBv1 感染者: カスタム EternalBlue 脆弱性を悪用して、他の Windows システムに伝播します。
  • Monero マイニング モジュール: 「chrome.exe」プロセスを装って、Monero 暗号通貨をマイニングします。

Monero 暗号通貨マイナー モジュールの組み込みは、脅威アクターの主な目的がデータ盗難とシステム悪用を中心に展開し、他のモジュールによって促進されるため、注意をそらす試みとみなされています。

トレンド

GlobalSearchSystem

Browser Hijackers, Potentially Unwanted Programs
GlobalSearchSystemは、ブラウザハイジャック機能を備えたアドウェアに分類されます。このアプリケーションは、Macユーザーを特に対象とするように設計されており、欺瞞的で誤解を招く配布方法に依存して拡散します。実際、infosecの研究者は、GlobalSearchSystemがAdobe FlashPlayerのアップデーターを装っているのを観察しています。このような手に負えな...

FrequencySkill

Mac Malware, Potentially Unwanted Programs
FrequencySkillは、Macユーザーをターゲットにするように設計されたアドウェアアプリケーションです。このアプリケーションは、疑わしい配布戦術に依存して、バンドルや偽のソフトウェアアップデーター/インストーラーなどを介してユーザーからインストールを隠します。この動作は、FrequencySkillをPUP(潜在的に望ましくないプログラム)としても分類します。さらに、このアプリケーシ...

Searchfor.cc

Browser Hijackers, Potentially Unwanted Programs
Searchfor.ccがユーザーの画面に表示されると、オンラインで利用できる他の検索エンジンと同じように見えます。ただし、Searchfor.ccには、必要な検索結果を表示するために必要な機能がありません。どうして? Searchfor.ccは、SearchForと呼ばれるアプリケーションによって後援されている偽の検索エンジンだからです。 SearchForは、破損した広告や別のプログラム...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
33,083
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
31,319
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
31,243
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...
読み込んでいます...