크로스 플랫폼 SysJoker 백도어 공격 Windows, 맥OS와 리눅스
인테저 전문가 발견했다 Windows의 장치에 사용되는 새로운 크로스 플랫폼 SysJoker 백도어, 사이버스파이 캠페인의 일환으로 Linux 및 macOS.
연구원에 따르면, 맬웨어는 적어도 하반기부터 활성화되었습니다. 2021. 악성코드는 12월에 처음 발견되었습니다. 2021 익명의 교육 기관이 소유한 Linux 기반 웹 서버에 대한 공격 중.
멀웨어는 C++로 작성되었으며 각 변종은 특정 운영 체제에 맞게 조정됩니다.. 하나, 에 제공된 보안 솔루션에서 모든 변형을 감지하지 못합니다. 바이러스 토탈.
Windows에서, SysJoker는 DLL 형식의 첫 번째 수준 드로퍼를 사용합니다., 그런 다음 PowerShell 명령을 실행하고 다음을 수행합니다.: SysJoker ZIP 파일을 가져옵니다. 깃허브 저장소, C로 추출:\프로그램 데이터복구 시스템, 페이로드를 실행합니다.. 멀웨어는 약 2분 동안 유휴 상태를 유지한 후 새 디렉토리를 생성하고 인텔 그래픽 공통 사용자 인터페이스 서비스 (igfxCUIService.exe).
데이터를 수집한 후, 맬웨어는 새 레지스트리 키를 추가하여 시스템에 발판을 마련합니다. (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion실행). 다음 단계는 앞서 언급한 관리 서버에 대한 호출입니다., Google 드라이브에 대한 하드코딩된 링크를 사용하는.
감염 초기 단계에서 수집한 정보를 C로 보내는 경우&C 서버, 고유한 토큰으로 응답합니다., 나중에 감염된 시스템의 식별자 역할을 합니다.. 또한, 제어 서버는 백도어에 추가 멀웨어를 설치하도록 명령할 수 있습니다., 감염된 장치에서 특정 명령 실행, 또는 자신을 삭제. 마지막 두 기능은 아직 완전히 구현되지 않았습니다..
연구원들은 Linux 및 macOS 버전에는 DLL 드로퍼가 없다고 씁니다., 그러나 일반적으로 감염된 장치에서 동일한 악성 작업을 수행합니다..
당신은 무엇을 알고 관심이있을 수 있습니다 그만큼 카포에 맬웨어는 WordPress 사이트에 백도어 플러그인을 설치합니다., 그리고 그 새로운 XLoader 맬웨어는 macOS 및 Windows에서 자격 증명을 훔칩니다..
