Une souche avancée de malware se faisant passer pour un mineur de cryptomonnaie a réussi à passer inaperçue pendant plus de cinq ans, infectant ainsi pas moins d’un million d’appareils dans le monde.
C’est ce que révèlent les conclusions de Kaspersky, qui a donné à la menace un nom de code. RayéMouchele décrivant comme un « cadre modulaire complexe prenant en charge à la fois Linux et Windows ».
Le fournisseur russe de cybersécurité, qui a détecté les échantillons pour la première fois en 2017, a déclaré que le mineur faisait partie d’une entité beaucoup plus grande qui utilise un exploit EternalBlue SMBv1 personnalisé attribué au groupe Equation afin d’infiltrer les systèmes accessibles au public.
Le shellcode malveillant, fourni via l’exploit, a la capacité de télécharger des fichiers binaires à partir d’un référentiel Bitbucket distant ainsi que d’exécuter des scripts PowerShell. Il prend également en charge une collection de fonctionnalités extensibles de type plugin pour collecter des données sensibles et même se désinstaller.
Le shellcode de la plateforme est injecté dans le Processus wininit.exeun processus Windows légitime démarré par le gestionnaire de démarrage (BOOTMGR) et qui gère le initialisation de diverses prestations.
« La charge utile du malware elle-même est structurée comme un code exécutable binaire monolithique conçu pour prendre en charge des modules enfichables afin d’étendre ou de mettre à jour ses fonctionnalités », chercheurs en sécurité Sergey Belov, Vilen Kamalov et Sergey Lozhkin. dit dans un rapport technique publié la semaine dernière.
« Il est équipé d’un tunnel réseau TOR intégré pour la communication avec les serveurs de commandes, ainsi que de fonctionnalités de mise à jour et de livraison via des services de confiance tels que GitLab, GitHub et Bitbucket, tous utilisant des archives cryptées personnalisées. »
D’autres modules d’espionnage notables lui permettent de collecter des informations d’identification toutes les deux heures, de capturer des captures d’écran sur l’appareil de la victime sans détection, d’enregistrer l’entrée du microphone et de démarrer un proxy inverse pour exécuter des actions à distance.
Une fois implanté, le logiciel malveillant désactive le protocole SMBv1 sur l’hôte infecté et propage le logiciel malveillant à d’autres machines à l’aide d’un module de vermifugation via SMB et SSH, en utilisant les clés récoltées sur les systèmes piratés.
StripeFly obtient la persistance soit en modifiant le registre Windows, soit en créant des entrées du planificateur de tâches si l’interpréteur PowerShell est installé et qu’un accès administratif est disponible. Sous Linux, la persistance est obtenue au moyen d’un service utilisateur systemd, d’un fichier .desktop démarré automatiquement ou en modifiant les fichiers /etc/rc*, profile, bashrc ou inittab.
Un mineur de crypto-monnaie Monero est également téléchargé qui exploite les requêtes DNS sur HTTPS (DoH) pour résoudre les serveurs du pool, ajoutant ainsi une couche supplémentaire de furtivité aux activités malveillantes. Il a été estimé que le mineur est utilisé comme leurre pour empêcher les logiciels de sécurité de découvrir toute l’étendue des capacités du malware.
Afin de minimiser l’empreinte, les composants malveillants qui peuvent être déchargés sont hébergés sous forme de binaires cryptés sur divers services d’hébergement de référentiels de code tels que Bitbucket, GitHub ou GitLab.
Par exemple, le référentiel Bitbucket exploité par l’acteur malveillant depuis juin 2018 comprend des fichiers exécutables capables de servir la charge utile d’infection initiale sur Windows et Linux, de rechercher de nouvelles mises à jour et, finalement, de mettre à jour le logiciel malveillant.
La communication avec le serveur de commande et de contrôle (C2), hébergé sur le réseau TOR, s’effectue à l’aide d’une implémentation légère et personnalisée d’un client TOR qui ne repose sur aucune méthode documentée publiquement.
« Le niveau de dévouement démontré par cette fonctionnalité est remarquable », ont déclaré les chercheurs. « L’objectif de cacher à tout prix le serveur C2 a conduit au développement d’un projet unique et long : la création de son propre client TOR. »
Une autre caractéristique frappante est que ces référentiels agissent comme des mécanismes de repli permettant au malware de télécharger les fichiers de mise à jour lorsque sa source principale (c’est-à-dire le serveur C2) ne répond plus.
Kaspersky a déclaré avoir découvert une famille de ransomwares appelée ThunderCrypt qui partage d’importants chevauchements de code source avec StripeFly, à l’exception de l’absence du module d’infection SMBv1. ThunderCrypt aurait été utilisé contre des cibles à Taiwan en 2017.
Les origines de StripeFly restent actuellement inconnues, bien que la sophistication du cadre et ses parallèles avec EternalBlue présentent toutes les caractéristiques d’un acteur de menace persistante avancée (APT).
Il convient de souligner que même si la fuite de l’exploit EternalBlue par Shadow Brokers a eu lieu le 14 avril 2017, la première version identifiée de StripeFly incorporant EternalBlue remonte au 9 avril 2016. Depuis la fuite, l’exploit EternalBlue a été réutilisé par des groupes de piratage nord-coréens et russes pour propager le Vouloir pleurer et Petia malware.
Cela dit, il existe également des preuves que des groupes de piratage chinois pourraient avoir eu accès à certains des exploits du groupe Equation avant qu’ils ne soient divulgués en ligne, comme l’a révélé Check Point en février 2021.
Les similitudes avec les logiciels malveillants associés au groupe Equation, a déclaré Kaspersky, se reflètent également dans le style de codage et les pratiques ressemblant à celles observées dans DÉTROITBIZARRE (SBZ), un autre plateforme de cyberespionnage exercé par le collectif antagoniste présumé lié aux États-Unis.
Ce développement intervient près de deux ans après que des chercheurs du laboratoire chinois Pangu ont détaillé une porte dérobée « de premier plan » appelée Bvp47 qui aurait été utilisée par l’Equation Group sur plus de 287 cibles couvrant plusieurs secteurs dans 45 pays.
Il va sans dire qu’un aspect crucial de la campagne qui reste un mystère – sauf pour ceux qui ont conçu le malware – est son véritable objectif.
« Bien que le ransomware ThunderCrypt suggère un motif commercial pour ses auteurs, il soulève la question de savoir pourquoi ils n’ont pas opté pour une voie potentiellement plus lucrative », ont déclaré les chercheurs.
« Il est difficile d’accepter l’idée qu’un malware aussi sophistiqué et conçu par des professionnels puisse servir un objectif aussi trivial, étant donné toutes les preuves du contraire. »