Cross-platform SysJoker backdoor-aanvallen Windows, macOS en Linux

Helga Smithjanuari 14, 2022Laatst bijgewerkt: januari 15, 2022

187 1 minuut lezen

Intezer-experts hebben ontdekt een nieuwe platformonafhankelijke SysJoker-achterdeur die wordt gebruikt tegen apparaten op Windows, Linux en macOS als onderdeel van een cyberspioncampagne.

Linux en macOS als onderdeel van een cyberspioncampagne, Linux en macOS als onderdeel van een cyberspioncampagne 2021. Linux en macOS als onderdeel van een cyberspioncampagne 2021 Linux en macOS als onderdeel van een cyberspioncampagne.

Linux en macOS als onderdeel van een cyberspioncampagne. Echter, Linux en macOS als onderdeel van een cyberspioncampagne VirusTotaal.

Linux en macOS als onderdeel van een cyberspioncampagne Linux en macOS als onderdeel van een cyberspioncampagne&C-server door een tekenreeks te decoderen die is ontvangen van een tekstbestand dat wordt gehost op Google Drijfveer. Afgaande op de victimologie en het gedrag van de malware, wij zijn van mening dat SysJoker wordt gebruikt bij gerichte aanvallen.analisten zeggen:.

Cross-platform SysJoker-achterdeur

Op Windows, SysJoker gebruikt een dropper op het eerste niveau in DLL-formaat, die vervolgens PowerShell-opdrachten uitvoert en het volgende doet:: Haalt het SysJoker ZIP-bestand op van de GitHub opslagplaats, extraheert het naar C:\ProgramDataRecoverySystem, en voert de payload uit. De malware is ongeveer twee minuten inactief voordat het een nieuwe map aanmaakt en zichzelf kopieert als Intel Grafische gemeenschappelijke gebruikersinterfaceservice (igfxCUIService.exe).

Daarna, SysJoker verzamelt informatie over de auto met behulp van Living off the Land (LOTL) commando's. SysJoker gebruikt verschillende tijdelijke tekstbestanden om resultaten op te slaan. Deze tekstbestanden worden onmiddellijk verwijderd, opgeslagen als een JSON-object, en vervolgens gecodeerd en geschreven naar het bestand microsoft_Windows.dll.het rapport luidt:.

Na het verzamelen van de gegevens, de malware krijgt voet aan de grond in het systeem door een nieuwe registersleutel toe te voegen (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). De volgende stap is de bovengenoemde oproep naar de beheerserver, die een hardcoded link naar Google Drive gebruikt.

Wanneer de informatie die tijdens de eerste infectiefasen is verzameld, naar de C . wordt gestuurd&C-server, het reageert met een uniek token, die later dient als de identificatie van de geïnfecteerde machine. Ook, de controleserver kan de achterdeur opdracht geven om extra malware te installeren, specifieke opdrachten uitvoeren op het geïnfecteerde apparaat, of zichzelf verwijderen. Opgemerkt wordt dat de laatste twee functies nog niet volledig zijn geïmplementeerd.

De onderzoekers schrijven dat de Linux- en macOS-versies geen DLL-dropper hebben, maar voeren over het algemeen dezelfde kwaadaardige bewerkingen uit op het geïnfecteerde apparaat.

Cross-platform SysJoker-achterdeur

Tot dusver, de malware is niet gekoppeld aan een specifieke hackgroep, maar Intezer is ervan overtuigd dat SysJoker het werk is van een serieus team, het uiteindelijke doel is om gegevens te verzamelen en zijwaarts te bewegen in het netwerk van het slachtoffer, wat uiteindelijk kan leiden tot een afpersingsaanval in de volgende fase.

Misschien ben je geïnteresseerd om te weten wat? De Capoae malware installeert een backdoor-plug-in op WordPress-sites, en dat Nieuw XLoader malware steelt inloggegevens van macOS en Windows.

Cross-platform SysJoker backdoor-aanvallen Windows, macOS en Linux

Intezer-experts hebben ontdekt een nieuwe platformonafhankelijke SysJoker-achterdeur die wordt gebruikt tegen apparaten op Windows, Linux en macOS als onderdeel van een cyberspioncampagne.

Helga Smith

Laat een antwoord achterannuleer antwoord

Verwijder het KAAA Ransomware-virus (+DECRYPT .file-bestanden)

Verwijder het UAJS Ransomware-virus (+DECRYPT .uajs-bestanden)

Verwijder het UAZQ Ransomware-virus (+DECRYPT .uazq-bestanden)

Verwijder het VOOK Ransomware-virus (+DECRYPT .vook-bestanden)

Verwijder het LOOY Ransomware-virus (+DECRYPT .looy-bestanden)

Verwijder het KOOL Ransomware-virus (+DECRYPT .kool-bestanden)

Verwijder het NOOD Ransomware-virus (+DECRYPT .nood-bestanden)

Verwijder het WIAW Ransomware-virus (+DECRYPT .wiaw-bestanden)

Verwijder het WISZ Ransomware-virus (+DECRYPT .wisz-bestanden)

Verwijder het LKFR Ransomware-virus (+DECRYPT .lkfr-bestanden)

Verwijder het LKHY Ransomware-virus (+DECRYPT .lkhy-bestanden)

Verwijder het LDHY Ransomware-virus (+DECRYPT .ldhy-bestanden)

Verwijder het KVIP Ransomware-virus (+DECRYPT .kvip-bestanden)

Verwijder het CDCC Ransomware-virus (+DECRYPT .cdcc-bestanden)

Verwijder het CDXX Ransomware-virus (+DECRYPT .cdxx-bestanden)

Intezer-experts hebben ontdekt een nieuwe platformonafhankelijke SysJoker-achterdeur die wordt gebruikt tegen apparaten op Windows, Linux en macOS als onderdeel van een cyberspioncampagne.

Helga Smith

PatchWork Group heeft per ongeluk zijn eigen systemen geïnfecteerd met Ragnatela Trojan

FIN8-hackergroep gebruikt nieuwe White Rabbit-malware

Laat een antwoord achterannuleer antwoord

gerelateerde artikelen

Nieuwe versie van Magniber Ransomware bedreigt Windows 11 Gebruikers

Goodwill-afperser dwingt slachtoffers tot goede daden

Russisch Fronton-botnet kan veel meer doen dan massale DDoS-aanvallen

Microsoft waarschuwt voor verhoogde XorDdos-malwareactiviteit