Η κερκόπορτα SysJoker πολλαπλών πλατφορμών επιτίθεται στα Windows, macOS και Linux

Helga SmithΙανουάριος 14, 2022Τελευταία ενημέρωση: Ιανουάριος 15, 2022

188 1 λεπτό διάβασμα

Οι ειδικοί της Intezer έχουν ανακαλύψει μια νέα κερκόπορτα SysJoker πολλαπλών πλατφορμών που χρησιμοποιείται σε συσκευές στα Windows, Linux και macOS ως μέρος μιας εκστρατείας κυβερνοκατασκοπείας.

Σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό είναι ενεργό τουλάχιστον από το δεύτερο μισό του 2021. Το κακόβουλο λογισμικό ανακαλύφθηκε για πρώτη φορά τον Δεκέμβριο 2021 κατά τη διάρκεια επίθεσης σε διακομιστή ιστού που βασίζεται σε Linux που ανήκει σε ένα ανώνυμο εκπαιδευτικό ίδρυμα.

Το κακόβουλο λογισμικό είναι γραμμένο σε C++ και κάθε παραλλαγή είναι προσαρμοσμένη για ένα συγκεκριμένο λειτουργικό σύστημα. Ωστόσο, όλες οι παραλλαγές δεν εντοπίζονται από τις λύσεις ασφαλείας που παρουσιάζονται VirusTotal.

SysJoker μεταμφιέζεται ως ενημέρωση συστήματος και δημιουργεί το C&Διακομιστής C αποκωδικοποιώντας μια συμβολοσειρά που λαμβάνεται από ένα αρχείο κειμένου που φιλοξενείται σε Google Οδηγώ. Αν κρίνουμε από τη θυματολογία και τη συμπεριφορά του κακόβουλου λογισμικού, πιστεύουμε ότι το SysJoker χρησιμοποιείται σε στοχευμένες επιθέσεις.λένε οι αναλυτές.

Πίσω πόρτα SysJoker για πολλαπλές πλατφόρμες

Στα Windows, Το SysJoker χρησιμοποιεί ένα σταγονόμετρο πρώτου επιπέδου σε μορφή DLL, το οποίο στη συνέχεια εκτελεί εντολές PowerShell και κάνει τα εξής: Λαμβάνει το αρχείο ZIP SysJoker από το GitHub αποθήκη, το εξάγει στο C:\ProgramDataRecoverySystem, και εκτελεί το ωφέλιμο φορτίο. Το κακόβουλο λογισμικό παραμένει σε αδράνεια για περίπου δύο λεπτά προτού δημιουργήσει έναν νέο κατάλογο και αντιγραφεί ως Intel Υπηρεσία κοινής διεπαφής χρήστη γραφικών (igfxCUIService.exe).

Επειτα, Το SysJoker θα συλλέξει πληροφορίες σχετικά με το αυτοκίνητο που χρησιμοποιεί το Living off the Land (ΠΟΛΛΑ) εντολές. Το SysJoker χρησιμοποιεί διάφορα προσωρινά αρχεία κειμένου για την αποθήκευση αποτελεσμάτων. Αυτά τα αρχεία κειμένου διαγράφονται αμέσως, αποθηκεύεται ως αντικείμενο JSON, και στη συνέχεια κωδικοποιήθηκε και εγγράφηκε στο αρχείο microsoft_Windows.dll.αναφέρει η έκθεση.

Μετά τη συλλογή των δεδομένων, το κακόβουλο λογισμικό θα αποκτήσει βάση στο σύστημα προσθέτοντας ένα νέο κλειδί μητρώου (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Το επόμενο βήμα είναι η προαναφερθείσα κλήση στον διακομιστή διαχείρισης, που χρησιμοποιεί έναν ενσωματωμένο σύνδεσμο στο Google Drive.

Όταν οι πληροφορίες που συλλέγονται κατά τα πρώτα στάδια της μόλυνσης αποστέλλονται στο C&Διακομιστής C, ανταποκρίνεται με ένα μοναδικό διακριτικό, που αργότερα χρησιμεύει ως αναγνωριστικό του μολυσμένου μηχανήματος. Επίσης, ο διακομιστής ελέγχου μπορεί να διατάξει το backdoor να εγκαταστήσει επιπλέον κακόβουλο λογισμικό, εκτελέστε συγκεκριμένες εντολές στη μολυσμένη συσκευή, ή να διαγράψει τον εαυτό του. Σημειώνεται ότι οι δύο τελευταίες λειτουργίες δεν έχουν ακόμη υλοποιηθεί πλήρως.

Οι ερευνητές γράφουν ότι οι εκδόσεις Linux και macOS δεν διαθέτουν DLL dropper, αλλά γενικά εκτελούν τις ίδιες κακόβουλες λειτουργίες στη μολυσμένη συσκευή.

Πίσω πόρτα SysJoker για πολλαπλές πλατφόρμες

Μέχρι τώρα, το κακόβουλο λογισμικό δεν σχετίζεται με κάποια συγκεκριμένη ομάδα hack, αλλά Intezer είναι πεπεισμένος ότι το SysJoker είναι το έργο μιας σοβαρής ομάδας, ο τελικός στόχος του οποίου είναι η συλλογή δεδομένων και η λοξή μετακίνηση στο δίκτυο του θύματος, που μπορεί τελικά να οδηγήσει σε επίθεση εκβιασμού στο επόμενο στάδιο.

Μπορεί να σας ενδιαφέρει να μάθετε τι ο Capoae Το κακόβουλο λογισμικό εγκαθιστά μια προσθήκη backdoor σε ιστότοπους WordPress, και αυτό Νέος XLoader κακόβουλο λογισμικό κλέβει διαπιστευτήρια από το macOS και τα Windows.

Ετικέτες

Helga SmithΙανουάριος 14, 2022Τελευταία ενημέρωση: Ιανουάριος 15, 2022

188 1 λεπτό διάβασμα

Η κερκόπορτα SysJoker πολλαπλών πλατφορμών επιτίθεται στα Windows, macOS και Linux

Helga Smith

Αφήστε μια απάντησηΑκύρωση απάντησης

Οδηγίες αφαίρεσης αναδυόμενων παραθύρων Check-tl-ver-78-1.com

Καταργήστε τον ιό QUAL Ransomware (+DECRYPT Αρχεία .qual)

Οδηγίες αφαίρεσης ιών Check-tl-ver-176-3.com

Καταργήστε τον ιό WATZ Ransomware (+DECRYPT Αρχεία .watz)

Καταργήστε τον ιό WAQA Ransomware (+DECRYPT Αρχεία .waqa)

Καταργήστε τον ιό PAAA Ransomware (+DECRYPT .paaa Αρχεία)

Καταργήστε τον ιό VEPI Ransomware (+DECRYPT Αρχεία .vepi)

Καταργήστε τον ιό VEHU Ransomware (+DECRYPT Αρχεία .vehu)

Καταργήστε τον ιό VEZA Ransomware (+DECRYPT .veza Αρχεία)

Καταργήστε τον ιό QEZA Ransomware (+DECRYPT .qeza Αρχεία)

Καταργήστε τον ιό QEHU Ransomware (+DECRYPT .qehu Αρχεία)

Καταργήστε τον ιό QEPI Ransomware (+DECRYPT Αρχεία .qepi)

Καταργήστε τον ιό BAAA Ransomware (+DECRYPT .baaa Αρχεία)

Καταργήστε τον ιό BGZQ Ransomware (+DECRYPT Αρχεία .bgzq)

Καταργήστε τον ιό BGJS Ransomware (+DECRYPT Αρχεία .bgjs)

Helga Smith

Το PatchWork Group μόλυνα κατά λάθος τα δικά του συστήματα με το Ragnatela Trojan

Η ομάδα χάκερ FIN8 χρησιμοποιεί νέο κακόβουλο λογισμικό White Rabbit

Αφήστε μια απάντησηΑκύρωση απάντησης

Σχετικά Άρθρα

Η νέα έκδοση του Magniber Ransomware απειλεί τα Windows 11 Χρήστες

Ο εκβιαστής καλής θέλησης αναγκάζει τα θύματα σε καλές πράξεις

Το Russian Fronton Botnet μπορεί να κάνει πολλά περισσότερα από τις μαζικές επιθέσεις DDoS

Η Microsoft προειδοποιεί για αυξημένη δραστηριότητα κακόβουλου λογισμικού XorDdos