StripedFly、5年間気づかれずに活動してきたマルウェア

セキュリティメディアの「The Hacker News」によると、過去5年間一度もバレずに活動してきたマルウェアが発見されたそうです。セキュリティ会社の「Kaspersky」は、発見されたマルウェアは「 StripedFly 」というLinuxとWindowsの両方で動作する高度化されたモジュール型マルウェアだと公開しました。StripedFlyは、5年間暗号通貨のマイニングコードになりすまし、100万台以上のデバイスを感染させてきました。デバイスを感染させた後には、様々なモジュールを追加的にダウンロードして悪質な行為を行い、主にC&Cサーバーと接続して各種の情報を盗み出したそうです。モネロを採掘するモジュールもありましたが、これはただの誤魔化しだったと分析されました。
Kasperskyは、2017年にStripedFlyのサンプルを初めて発見しましたが、当時はクリプトジャッキングのマルウェアとしか認識されたそうです。しかし、調べてみると、より巨大な攻撃の意図が背後にあったという事実が明らかになり、正常なWindowsプロセスの一つである「wininit.exe」を通じて悪質なシェルコードを埋め込むことで攻撃を開始することが現在まで判明されました。
Kasperskyは、「StripedFlyは、TORネットワークを介してC&Cと通信します。また、GitlabやGitHub、Bitbucketなどのサービスを悪用して機能を更新することもあります。バレないためにあらゆる手段を利用したものと考えられます。」と述べました。
また他の最新マルウェアである「KandyKorn」に関しては、暗号通貨エコシステムを狙う新たなMac OSマルウェア「 KandyKorn 」、背後には北朝鮮をご参照ください。