SysJoker-bagdør på tværs af platforme angriber Windows, macOS og Linux

Helga Smithjanuar 14, 2022Sidst opdateret: januar 15, 2022
188 1 minuts læsning

Intezer eksperter har opdaget en ny cross-platform SysJoker bagdør, der bruges mod enheder på Windows, Linux og macOS som en del af en cyberspionkampagne.

Ifølge forskere, malwaren har været aktiv siden mindst anden halvdel af 2021. Malwaren blev først opdaget i december 2021 under et angreb på en Linux-baseret webserver ejet af en unavngiven uddannelsesinstitution.

Malwaren er skrevet i C++ og hver variant er tilpasset til et specifikt operativsystem. Imidlertid, alle variationer opdages ikke af sikkerhedsløsningerne præsenteret på VirusTotal.

SysJoker udgiver sig som en systemopdatering og genererer dens C&C-server ved at afkode en streng modtaget fra en tekstfil, der hostes på Google Køre. At dømme efter malwarens viktimologi og adfærd, vi mener, at SysJoker bruges i målrettede angreb.siger analytikere.

SysJoker-bagdør på tværs af platforme

På Windows, SysJoker bruger en dropper på første niveau i DLL-format, som derefter udfører PowerShell-kommandoer og gør følgende: Henter SysJoker ZIP-filen fra GitHub depot, udtrækker det til C:\ProgramDataRecoverySystem, og udfører nyttelasten. Malwaren er inaktiv i omkring to minutter, før den opretter en ny mappe og kopierer sig selv som Intel Graphics Common User Interface Service (igfxCUIService.exe).

Bagefter, SysJoker vil indsamle oplysninger om bilen ved hjælp af Living off the Land (LOtL) kommandoer. SysJoker bruger forskellige midlertidige tekstfiler til at gemme resultater. Disse tekstfiler slettes straks, gemt som et JSON-objekt, og derefter kodet og skrevet til filen microsoft_Windows.dll.lyder rapporten.

Efter indsamling af data, malwaren vil få fodfæste i systemet ved at tilføje en ny registreringsnøgle (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Det næste trin er det førnævnte opkald til administrationsserveren, som bruger et hardkodet link til Google Drev.

Når de oplysninger, der indsamles under de første stadier af infektion, sendes til C&C server, den reagerer med en unik token, som senere tjener som identifikator for den inficerede maskine. Også, kontrolserveren kan beordre bagdøren til at installere yderligere malware, udføre specifikke kommandoer på den inficerede enhed, eller slette sig selv. Det bemærkes, at de sidste to funktioner endnu ikke er fuldt implementeret.

Forskerne skriver, at Linux- og macOS-versionerne ikke har en DLL-dropper, men udfører generelt de samme ondsindede handlinger på den inficerede enhed.

SysJoker-bagdør på tværs af platforme

Indtil nu, malwaren er ikke forbundet med nogen specifik hackgruppe, men Intezer er overbevist om, at SysJoker er et seriøst teams arbejde, hvis ultimative mål er at indsamle data og bevæge sig sidelæns i ofrets netværk, hvilket i sidste ende kan føre til et afpresningsangreb i næste fase.

Du kunne være interesseret i at vide hvad Det Capoae malware installerer et bagdørs-plugin på WordPress-websteder, og det Ny XLoader malware stjæler legitimationsoplysninger fra macOS og Windows.

Mærker
Helga Smithjanuar 14, 2022Sidst opdateret: januar 15, 2022
188 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap