Monikäyttöinen SysJoker-takaovi hyökkää Windowsiin, macOS ja Linux

Helga Smithtammikuu 14, 2022Viimeksi päivitetty: tammikuu 15, 2022
187 1 minuutti luettu

Intezerin asiantuntijat ovat löytäneet uusi cross-platform SysJoker-takaovi, jota käytetään Windows-laitteita vastaan, Linux ja macOS osana kybervakoilukampanjaa.

Tutkijoiden mukaan, haittaohjelma on ollut aktiivinen ainakin vuoden toisesta puoliskosta lähtien 2021. Haittaohjelma löydettiin ensimmäisen kerran joulukuussa 2021 hyökkäyksen aikana nimettömän oppilaitoksen omistamaa Linux-pohjaista verkkopalvelinta vastaan.

Haittaohjelma on kirjoitettu C++:lla ja jokainen versio on mukautettu tietylle käyttöjärjestelmälle. kuitenkin, Esitellyt tietoturvaratkaisut eivät tunnista kaikkia muunnelmia VirusTotal.

SysJoker naamioituu järjestelmäpäivitykseksi ja luo sen C&C-palvelin dekoodaamalla tekstitiedostosta vastaanotetun merkkijonon Google Ajaa. Haittaohjelman uhrilogian ja käyttäytymisen perusteella päätellen, uskomme, että SysJokeria käytetään kohdistetuissa hyökkäyksissä.analyytikot sanovat.

Cross-platform SysJoker-takaovi

Windowsissa, SysJoker käyttää ensimmäisen tason dropperia DLL-muodossa, joka sitten suorittaa PowerShell-komennot ja tekee seuraavaa: Hakee SysJoker ZIP-tiedoston GitHub arkisto, purkaa sen C:ksi:\ProgramDataRecoverySystem, ja suorittaa hyötykuorman. Haittaohjelma on käyttämättömänä noin kaksi minuuttia ennen kuin se luo uuden hakemiston ja kopioi itsensä nimellä Intel Graphics Common User Interface Service (igfxCUIService.exe).

Jälkeenpäin, SysJoker kerää tietoja autosta Living off the Land -sovelluksella (LOtL) komentoja. SysJoker käyttää erilaisia ​​väliaikaisia ​​tekstitiedostoja tulosten tallentamiseen. Nämä tekstitiedostot poistetaan välittömästi, tallennettu JSON-objektina, ja sitten koodattu ja kirjoitettu microsoft_Windows.dll-tiedostoon.raportissa lukee.

Tietojen keräämisen jälkeen, haittaohjelmat saavat jalansijaa järjestelmässä lisäämällä uuden rekisteriavaimen (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Seuraava vaihe on edellä mainittu puhelu hallintapalvelimelle, joka käyttää kovakoodattua linkkiä Google Driveen.

Kun tartunnan ensimmäisten vaiheiden aikana kerätyt tiedot lähetetään C&C-palvelin, se vastaa ainutlaatuisella tunnuksella, joka toimii myöhemmin tartunnan saaneen koneen tunnisteena. Myös, ohjauspalvelin voi määrätä takaoven asentamaan lisää haittaohjelmia, suorittaa tiettyjä komentoja tartunnan saaneessa laitteessa, tai poistaa itsensä. On huomattava, että kahta viimeistä toimintoa ei ole vielä täysin toteutettu.

Tutkijat kirjoittavat, että Linux- ja macOS-versioissa ei ole DLL-pippuria, mutta yleensä suorittaa samat haitalliset toiminnot tartunnan saaneelle laitteelle.

Cross-platform SysJoker-takaovi

Niin kaukana, haittaohjelma ei liity mihinkään tiettyyn hakkerointiryhmään, mutta Intezer on varma, että SysJoker on vakavan joukkueen työ, jonka perimmäisenä tavoitteena on kerätä tietoja ja liikkua sivuttain uhrin verkossa, joka voi lopulta johtaa kiristyshyökkäykseen seuraavassa vaiheessa.

Saatat olla kiinnostunut tietämään mitä The Capoae haittaohjelma asentaa takaoven laajennuksen WordPress-sivustoille, ja tuo Uusi XLoader haittaohjelma varastaa tunnistetiedot macOS:stä ja Windowsista.

Tunnisteet
Helga Smithtammikuu 14, 2022Viimeksi päivitetty: tammikuu 15, 2022
187 1 minuutti luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike