A többplatformos SysJoker hátsó ajtó megtámadja a Windows rendszert, macOS és Linux

Helga Smithjanuár 14, 2022Utolsó frissítés: január 15, 2022
188 1 perc olvasás

Az Intezer szakértői felfedezték egy új, többplatformos SysJoker hátsó ajtó, amelyet a Windows-eszközök ellen használnak, Linux és macOS egy kiberkémkampány részeként.

A kutatók szerint, a rosszindulatú program legalább a második fele óta aktív 2021. A kártevőt először decemberben fedezték fel 2021 egy meg nem nevezett oktatási intézmény tulajdonában lévő Linux alapú webszerver elleni támadás során.

A kártevő C++ nyelven íródott, és mindegyik változat egy adott operációs rendszerhez van igazítva. azonban, a bemutatott biztonsági megoldások nem észlelnek minden változatot VirusTotal.

SysJoker rendszerfrissítésnek álcázza magát, és létrehozza a C-jét&C-kiszolgálón a következő helyen tárolt szövegfájlból kapott karakterlánc dekódolásával Google Hajtás. A kártevő viktimológiája és viselkedése alapján ítélve, úgy gondoljuk, hogy a SysJokert célzott támadásokhoz használják.azt mondják az elemzők.

Cross-platform SysJoker hátsó ajtó

Windows rendszeren, A SysJoker első szintű droppert használ DLL formátumban, amely ezután végrehajtja a PowerShell-parancsokat és a következőket teszi: Lekéri a SysJoker ZIP fájlt a GitHub adattár, kivonja C-be:\ProgramDataRecoverySystem, és végrehajtja a hasznos terhet. A rosszindulatú program körülbelül két percig tétlen, mielőtt új könyvtárat hoz létre, és más néven másolja magát Intel Grafikus közös felhasználói felület szolgáltatás (igfxCUIService.exe).

Később, A SysJoker információkat gyűjt az autóról a Living off the Land segítségével (LOtL) parancsokat. A SysJoker különféle ideiglenes szövegfájlokat használ az eredmények tárolására. Ezek a szöveges fájlok azonnal törlődnek, JSON-objektumként mentve, majd kódolják és a microsoft_Windows.dll fájlba írják.– olvasható a jelentésben.

Az adatok összegyűjtése után, a kártevő új rendszerleíró kulcs hozzáadásával megveti a lábát a rendszerben (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). A következő lépés a felügyeleti szerver fent említett hívása, amely egy kódolt linket használ a Google Drive-ra.

Amikor a fertőzés első szakaszában gyűjtött információkat elküldik a C&C szerver, egyedi tokennel válaszol, amely később a fertőzött gép azonosítójaként szolgál. Is, a vezérlőszerver megrendelheti a hátsó ajtót további rosszindulatú programok telepítésére, meghatározott parancsokat hajt végre a fertőzött eszközön, vagy törölje magát. Meg kell jegyezni, hogy az utolsó két funkciót még nem hajtották végre teljes mértékben.

A kutatók azt írják, hogy a Linux és a macOS verziók nem rendelkeznek DLL dropperrel, de általában ugyanazokat a rosszindulatú műveleteket hajtják végre a fertőzött eszközön.

Cross-platform SysJoker hátsó ajtó

Eddig, a rosszindulatú program nem kapcsolódik egyetlen feltörő csoporthoz sem, de intezer biztos abban, hogy a SysJoker egy komoly csapat munkája, melynek végső célja az adatok gyűjtése és oldalirányú mozgása az áldozat hálózatában, ami végül zsaroló támadáshoz vezethet a következő szakaszban.

Lehet, hogy érdekelne, hogy mit A Capoes a rosszindulatú program hátsó ajtó bővítményt telepít a WordPress webhelyekre, és az Új XLoader a rosszindulatú program hitelesítő adatokat lop el a macOS és a Windows rendszerből.

Címke
Helga Smithjanuár 14, 2022Utolsó frissítés: január 15, 2022
188 1 perc olvasás

Helga Smith

Mindig is érdekelt az informatika, különösen az adatbiztonság és a téma, amelyet manapság úgy hívnak "adattudomány", tizenéves kora óta. Mielőtt a Víruseltávolító csapathoz került volna főszerkesztőként, Több cégnél dolgoztam kiberbiztonsági szakértőként, köztük az Amazon egyik vállalkozója. Újabb élmény: Arden és Reading egyetemeken tanítok.

Válaszolj

Ez az oldal az Akismetet használja a spamek csökkentésére. Ismerje meg, hogyan dolgozzák fel megjegyzései adatait.

'Fel a tetejéhez' gomb