ມັນແວທີ່ສາມາດເຮັດວຽກຂ້າມແພລດຟອມທີ່ຊື່ວ່າ StripedFly ໄດ້ຫຼົບລ່ຽງການກວດຈັບ ຂອງນັກວິໄຈດ້ານຄວາມປອດໄພທາງໄຊເບີ ມາເປັນເວລາ ຫ້າ ປີ ໂດຍໂຈມຕີລະບົບ Windows ແລະ Linux ຫລາຍກວ່າໜຶ່ງລ້ານເຄື່ອງໃນຊ່ວງເວລານັ້ນ.
Kaspersky ຄົ້ນພົບລັກສະນະຂອງໂຄງສ້າງຂອງມັນແວໃນປີທີ່ຜ່ານມາ ໂດຍພົບຫຼັກຖານວ່າ ມັນແວທຳການໂຈມຕີມາຕັ້ງແຕ່ປີ 2017 ໂດຍມັນແວຖືກຈັດປະເພດຜິດພາດວ່າ ເປັນພຽງໂປຣແກຣມຂູດຫລຽນສະກຸນເງີນດິຈິຕອນ Monero.
ນັກວິເຄາະລະບຸວ່າ StripedFly ວ່າເປັນມັນແວ ທີ່ໜ້າປະທັບໃຈ ໂດຍມີກົນໄກການເຊື່ອງການຮັບສົ່ງຂໍ້ມູນຜ່ານ TOR ທີ່ເບິ່ງຊັບຊ້ອນ, ການອັບເດດອັດຕະໂນມັດຈາກແພລດຟອມ ທີ່ເຊື່ອຖືໄດ້, ຄວາມສາມາດໃນການແຜ່ກະຈາຍແບບ worm, ແລະ ການໃຊ້ຊ່ອງໂຫວ່ EternalBlue SMBv1 ແບບກຳນົດເອງ ທີ່ສ້າງຂຶ້ນກ່ອນການເປີດເຜີຍຊ່ອງໂຫວ່ຕໍ່ສາທາລະນະ.
ເຖິງແມ່ນວ່າ ຈະຍັງບໍ່ຊັດເຈນວ່າ framework ຂອງມັນແວນີ້ ຖືກໃຊ້ເພື່ອສ້າງລາຍໄດ້ ຫລື ເພື່ອການໂຈລະກຳທາງໄຊເບີ ແຕ່ Kaspersky ລະບຸວ່າ ຄວາມຊັບຊ້ອນຂອງມັນຊີ້ບອກວ່າ ນີ້ຄືມັນແວໃນຮູບແບບຂອງ APT (advanced persistent threat).
ໂຄງສ້າງຂອງມັນແວ StripedFly ຖືກພົບຄັ້ງທຳອິດ ຫຼັງຈາກທີ່ Kaspersky ພົບການຝັງ shellcode ຂອງແພລດຟອມໃນ process WININIT.EXE ຊຶ່ງເປັນ process ຂອງ Windows OS ທີ່ຖືກຕ້ອງ ແລະ ໃຊ້ສຳລັບຈັດການການເລີ່ມຕົ້ນໃຊ້ງານຂອງລະບົບຍ່ອຍຕ່າງໆ.
ຫຼັງຈາກກວດສອບ injected code ພົບວ່າໂຄ້ດນີ້ຈະດາວໂຫຼດ ແລະ ຮຽກໃຊ້ໄຟລ໌ເພິ່ມເຕິມ ເຊັ່ນ: ສະຄຣິບ PowerShell ຈາກບໍລິການໂຮດຕິ້ງ ທີ່ຖືກຕ້ອງ ເຊັ່ນ: Bitbucket, GitHub ແລະ GitLab ລວມເຖິງສະຄຣິບ PowerShell.
ການສືບສວນເພິ່ມເຕິມສະແດງໃຫ້ເຫັນວ່າ ອຸປະກອນທີ່ຕິດມັນແວມີແນວໂນ້ມວ່າຈະຖືກໂຈມຕີຄັ້ງທຳອິດດ້ວຍຊ່ອງໂຫວ່ SMBv1 ດ້ວຍການໃຊ້ເຄື່ອງມື EternalBlue ທີ່ເລັ່ງເປົ້າໄປທີ່ຄອມພິວເຕີທີ່ເຊື່ອມຕໍ່ກັບອິນເຕີເນັດ.
ເຊິເວີຄວບຄຸມ ແລະ ສັ່ງການ (C2) ຂອງມັນແວຕັ້ງຢູ່ເທິງເຄີອຂ່າຍ TOR ແລະ ການສື່ສານກັບເຊິເວີນີ້ຈະປະກອບດ້ວຍ ID ທີ່ສ້າງມາສະເພາະຕົວສຳລັບເຫຍື່ອແຕ່ລະລາຍ.
