超极谍战！复杂间谍平台StripedFly引发灾难，超100多万台系统沦陷

      分析师们形容StripedFly令人印象深刻，它具有复杂的基于TOR的流量隐藏机制、来自可信平台的自动更新、类似蠕虫的传播能力，以及在漏洞公开之前创建的自定义EternalBlue SMBv1漏洞。

      虽然目前尚不清楚该恶意软件框架是否用于创收或网络间谍活动，但卡巴斯基表示，其复杂性表明这是一种APT（高级持续威胁）恶意软件。

      根据恶意软件的编译器时间戳，已知最早的StripedFly版本具有EternalBlue漏洞，日期为2016年4月，而Shadow Brokers集团的公开泄露发生在2016年8月。

      StripedFly恶意软件框架是在卡巴斯基发现该平台的外壳代码注入WININIT后首次被发现的。WININIT是一个合法的Windows操作系统进程，处理各种子系统的初始化。

      在调查了注入的代码后，他们确定它从合法的托管服务（如Bitbucket、GitHub和GitLab）下载并执行额外的文件，如PowerShell脚本，包括PowerShell脚本。进一步的调查显示，受感染的设备很可能是通过针对暴露在互联网上的计算机的自定义EternalBlue SMBv1漏洞首次被攻破的。

      最终的StripedFly负载（system.img）具有一个自定义的轻量级TOR网络客户端，以保护其网络通信免受拦截，能够禁用SMBv1协议，并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。

      恶意软件的指挥控制（C2）服务器位于TOR网络上，与它的通信涉及包含受害者唯一ID的频繁信标消息。

      对于Windows系统上的持久性，StripedFly根据其运行的权限级别和PowerShell的存在来调整其行为。如果没有PowerShell，它将在%APPDATA%目录中生成一个隐藏文件。在PowerShell可用的情况下，它会执行用于创建计划任务或修改Windows注册表项的脚本。

      在Linux上，恶意软件的名称为“sd pam”。它使用systemd服务、autostarting.desktop文件或通过修改各种配置文件和启动文件来实现持久性。在Windows系统上提供最后阶段有效负载的Bitbucket存储库表明，在2023年4月至2023年9月期间，已经有近60000个系统感染。

      据估计，自2022年2月以来，StripedFly已经感染了至少220000个Windows系统，但无法获得该日期之前的统计数据，该存储库创建于2018年。

自 2023 年 4 月以来的有效负载下载计数

     然而，卡巴斯基估计，超过100万台设备被StripedFly框架感染。

      该恶意软件作为带有可插入模块的单片二进制可执行程序运行，使其具有与APT操作相关的操作通用性。

      Monero加密矿工的存在被认为是一种转移注意力的尝试，威胁参与者的主要目标是通过其他模块促进数据盗窃和系统利用。

      卡巴斯基的报告中写道：“恶意软件负载包括多个模块，使参与者能够作为APT、加密矿工，甚至勒索软件集团执行任务。值得注意的是，该模块开采的Monero加密货币在2018年1月9日达到峰值542.33美元，而2017年的价值约为10美元。截至2023年，它的价值约为150美元。”