SysJoker bakdør på tvers av plattformer angriper Windows, macOS og Linux

Helga Smithjanuar 14, 2022Sist oppdatert: januar 15, 2022
187 1 minutt lest

Intezer-eksperter har oppdaget en ny SysJoker-bakdør på tvers av plattformer som brukes mot enheter på Windows, Linux og macOS som en del av en nettspionkampanje.

Ifølge forskere, skadelig programvare har vært aktiv siden minst andre halvdel av 2021. Skadevaren ble først oppdaget i desember 2021 under et angrep på en Linux-basert webserver som eies av en ikke navngitt utdanningsinstitusjon.

Skadevaren er skrevet i C++ og hver variant er tilpasset et spesifikt operativsystem. derimot, alle variasjoner blir ikke oppdaget av sikkerhetsløsningene presentert på VirusTotal.

SysJoker maskerer seg som en systemoppdatering og genererer C&C-server ved å dekode en streng mottatt fra en tekstfil som er vert på Google Kjøre. Å dømme etter skadevaren og oppførselen til skadevare, vi tror at SysJoker brukes i målrettede angrep.sier analytikere.

SysJoker-bakdør på tvers av plattformer

På Windows, SysJoker bruker en dropper på første nivå i DLL-format, som deretter utfører PowerShell-kommandoer og gjør følgende: Henter SysJoker ZIP-filen fra GitHub oppbevaringssted, trekker det ut til C:\ProgramDataRecoverySystem, og utfører nyttelasten. Skadevaren er inaktiv i omtrent to minutter før den oppretter en ny katalog og kopierer seg selv som Intel Graphics Common User Interface Service (igfxCUIService.exe).

Etterpå, SysJoker vil samle inn informasjon om bilen ved hjelp av Living off the Land (LOtL) kommandoer. SysJoker bruker ulike midlertidige tekstfiler for å lagre resultater. Disse tekstfilene slettes umiddelbart, lagret som et JSON-objekt, og deretter kodet og skrevet til microsoft_Windows.dll-filen.lyder rapporten.

Etter innsamling av data, skadelig programvare vil få fotfeste i systemet ved å legge til en ny registernøkkel (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Det neste trinnet er det nevnte kallet til administrasjonsserveren, som bruker en hardkodet lenke til Google Disk.

Når informasjonen som samles inn under de første stadiene av infeksjonen sendes til C&C -server, den svarer med en unik token, som senere fungerer som identifikatoren til den infiserte maskinen. Også, kontrollserveren kan beordre bakdøren til å installere ytterligere skadelig programvare, utføre spesifikke kommandoer på den infiserte enheten, eller slette seg selv. Det bemerkes at de to siste funksjonene ennå ikke er fullt implementert.

Forskerne skriver at Linux- og macOS-versjonene ikke har en DLL-dropper, men utfører generelt de samme ondsinnede operasjonene på den infiserte enheten.

SysJoker-bakdør på tvers av plattformer

Så langt, skadelig programvare er ikke assosiert med noen spesifikk hackgruppe, men Intezer er sikker på at SysJoker er arbeidet til et seriøst team, det endelige målet er å samle inn data og bevege seg sidelengs i offerets nettverk, som til slutt kan føre til et utpressingsangrep på neste trinn.

Du kan være interessert i å vite hva De Capoae malware installerer en bakdørs-plugin på WordPress-nettsteder, og det Ny XLoader malware stjeler legitimasjon fra macOS og Windows.

Merker
Helga Smithjanuar 14, 2022Sist oppdatert: januar 15, 2022
187 1 minutt lest

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen