Qeydiyyat

“StripedFly”: mürəkkəb koda və casusluq imkanlarına malik mədənçi-qurd

“Kaspersky” mütəxəssisləri “StripedFly” adı verilən əvvəllər məlum olmayan və son dərəcə mürəkkəb zərərli proqram aşkar ediblər. 2017-ci ildən bəri dünya üzrə bir milyondan çox istifadəçi onun qurbanına çevrilib və indi daha az aktiv olsa da, hücumlara davam edir. Uzun müddətdir onun adi bir kriptomədənçi olduğu güman edilsə də sonradan çoxfunksiyalı, funksional çərçivəyə malik mürəkkəb bir proqram olduğu məlum olub. “Kaspersky” tədqiqatçıları bu barədə “Security Analyst Summit” tədbirində danışıblar.

2022-ci ildə “Kaspersky”nin Qlobal Tədqiqat və Analiz Qrupunun (GReAT) mütəxəssisləri bu zərərli proqramın iştirak etdiyi iki yeni insident aşkar ediblər. Onlar “Windows”da “wininit.exe” sistem prosesi ilə əlaqəli olub. Prosesin tərkib hissəsi kimi əvvəllər “Equation” zərərli proqramında istifadə edilmiş kod ardıcıllığı aşkar edilib. Tapılan nümunələrin fəaliyyəti ən azı 2017-ci ildən aktual olsa da, əvvəllər adi kriptominatorla səhv salındığı üçün onun ilkin analiz mərhələsində dərhal hərtərəfli öyrənilməsi baş tutmayıb. Geniş araşdırmadan sonra məlum olub ki, kriptomədənçi çoxlu plaginlərə malik mürəkkəb multiplatformalı strukturun yalnız bir hissəsidir.

Aşkar edilmiş zərərli proqramın bir çox modulları təcavüzkarlara ondan APT hücumlarının bir hissəsi, həmçinin kriptomədənçi və ya hətta fidyə proqramı kimi istifadə etməyə imkan verir. Müvafiq olaraq, təcavüzkarların mümkün motivlərinin siyahısı maddi qazancdan casusluğa qədər əhəmiyyətli dərəcədə genişlənir. Maraqlıdır ki, zərərli modul vasitəsilə çıxarılmış “Monero” kriptovalyutasının dəyəri 2018-ci il yanvarın 9-da ən yüksək həddə, yəni 542,33 dollara çatıb. Müqayisə üçün qeyd edək ki, 2017-ci ildə onun qiyməti təxminən 10 dollar olub. Hazırda bu kriptovalyutanın dəyəri 150 dollardır. “Kaspersky” mütəxəssisləri vurğulayırlar ki, mədənçilik üçün nəzərdə tutulan modul zərərli proqramların uzun müddət ərzində tam aşkara çıxarıla bilməməsinsə səbəb olan əsas amildir.

Təcavüzkarların qurbanlara qarşı gizli casusluq etmək üçün çoxlu imkanları var. Zərərli proqram hər iki saatdan bir hesab məlumatlarını toplayır. Məlumatlar arasında vebsayta daxil olmaq və ya Wi-Fi-ya qoşulmaq üçün login və şifrələr və ya şəxsin adı, ünvanı, telefon nömrəsi, iş yeri və vəzifəsi daxil olmaqla şəxsi məlumatlar yer alır. Bundan əlavə, zərərli proqram qurbanın cihazından gizlin şəkildə ekran görüntüsü çəkə, cihaza tam nəzarət edə və hətta mikrofondan səs məlumatlarını yaza bilər.

Kompüterin yoluxmasının ilkin mənbəyi uzun müddət naməlum olaraq qalıb. “Kaspersky” tərəfindən aparılan sonrakı araşdırmalar təcavüzkarların bu məqsədlə öz “EternalBlue “SMBv1” istismarından istifadə etdiyini müəyyən edib. “EternalBlue” zəifliyi hələ 2017-ci ildə aşkar edilib, bundan sonra “Microsoft” düzəliş yamağı (MS17-010) buraxıb. Bununla belə, təhlükə hələ də aktualdır, çünki bütün istifadəçilər sistemi yeniləmir.

Kampaniyanın texniki təhlili zamanı “Kaspersky” mütəxəssisləri “Equation” zərərli proqramı ilə oxşarlıqlar aşkar ediblər. Buraya texniki göstəricilər, o cümlədən imzalar, proqramlaşdırma üslubu və “StraitBizzare” (SBZ) zərərli proqramında istifadə edilənlərə oxşar üsullar daxildir. Endirmə sayğacı məlumatlarına əsasən “StripedFly”ın dünya üzrə bir milyondan çox istifadəçini hədəfə aldığı müəyyən edilib.

“Bu çərçivəni yaratmaq üçün sərf olunan səylər həqiqətən təəccübləndirir. Kibertəhlükəsizlik mütəxəssisləri üçün əsas problem təcavüzkarların daim dəyişən şərtlərə uyğunlaşmasıdır. Buna görə də, biz tədqiqatçılar üçün mürəkkəb kibertəhlükələri müəyyən etmək üçün gücümüzü bir araya gətirməyimiz və müştərilərin kiberhücumlardan hərtərəfli müdafiəni yaddan çıxarmaması vacibdir”, – deyə “Kaspersky”nin kibertəhlükəsizlik üzrə eksperti Sergey Lojkin qeyd edir.

Kibercinayətkarların məqsədyönlü hücumlarından qorunmaq üçün “Kaspersky” mütəxəssisləri tövsiyə edirlər:

  • boşluqları vaxtında aradan qaldırmaq üçün əməliyyat sistemini, tətbiqləri və antivirus proqramlarını mütəmadi olaraq yeniləyin;
  • məxfi məlumatlarınızı təqdim etməyinizi tələb edən e-poçt, mesaj və ya zənglərə qarşı ehtiyatlı olun; məlumatlarınızı onlara ötürməzdən və ya şübhəli keçidlərə klikləməzdən əvvəl göndərənlərin kimliyini yoxlayın;
  • Təhlükəsizlik Əməliyyatları Mərkəzinin (SOC) mütəxəssislərinə təhdidlər haqqında məlumat bazasına (TI) giriş təmin edin. Məsələn, Kaspersky Threat Intelligence şirkət tərəfindən 20 ildən artıq müddətdə toplanmış hücum məlumatlarını ehtiva edir;
  • komandanın kibertəhlükəsizlik, xüsusilə də ən son hədəfli təhdidlər haqqında biliklərini artırın. Bu işdə “Kaspersky” mütəxəssisləri tərəfindən hazırlanmış onlayn təlim köməyə çata bilər;
  • Kaspersky Endpoint Detection and Response kimi son cihaz səviyyəsində insidentlərin vaxtında aşkarlanması və cavablandırılmasını təmin edən EDR həllərindən istifadə edin.

 “StripedFly” haqqında “Kaspersky”nin hesabatından öyrənə bilərsiniz: https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/.

Paylaş
Əlaqədar məqalələr
Elm / Texnologiya

Dünya üzrə şirkətlərin 40%-iboşluqların....

Dünya üzrə şirkətlərin 40%-iboşluqların vaxtında aradan qaldırılmasını…
►►►
Paylaş
Elm / Texnologiya

“Nar” regional satış şəbəkəsini genişləndirir – yeni mağaza Salyanda!

“Nar” regional satış şəbəkəsini genişləndirir – yeni mağaza Salyanda! Sərfəli…
►►►
Paylaş
Elm / Texnologiya

“AzInTelecom” “INMerge” İnnovasiya Sammiti”ndə iştirak edir

“AzInTelecom” “INMerge” İnnovasiya Sammiti”ndə iştirak edir AZCON Holding…
►►►
Paylaş