Platformlar arası SysJoker arka kapı Windows'a saldırıyor, macOS ve Linux

Intezer uzmanları keşfetti Windows'taki cihazlara karşı kullanılan yeni bir platformlar arası SysJoker arka kapısı, Siber casusluk kampanyasının bir parçası olarak Linux ve macOS.

araştırmacılara göre, kötü amaçlı yazılım yılın en az ikinci yarısından beri etkin 2021. Kötü amaçlı yazılım ilk olarak Aralık ayında keşfedildi 2021 isimsiz bir eğitim kurumuna ait Linux tabanlı bir web sunucusuna yapılan saldırı sırasında.

Kötü amaçlı yazılım C++ ile yazılmıştır ve her bir varyant belirli bir işletim sistemine uyarlanmıştır.. ancak, tüm varyasyonlar, üzerinde sunulan güvenlik çözümleri tarafından algılanmaz. VirüsToplam.

sistem şakacısı bir sistem güncellemesi gibi görünür ve C'sini üretir.&C sunucusunda barındırılan bir metin dosyasından alınan bir dizenin kodunu çözerek Google Sürmek. Kötü amaçlı yazılımın kurban durumuna ve davranışına bakılırsa, SysJoker'in hedefli saldırılarda kullanıldığına inanıyoruz.analistler diyor.

Platformlar arası SysJoker arka kapısı

Windows'ta, SysJoker, DLL formatında birinci seviye bir damlalık kullanır, daha sonra PowerShell komutlarını yürütür ve aşağıdakileri yapar: SysJoker ZIP dosyasını şu adresten alır: GitHub depo, C'ye çıkarır:\ProgramDataRecoverySystem, ve yükü yürütür. Kötü amaçlı yazılım, yeni bir dizin oluşturmadan ve kendisini şu şekilde kopyalamadan önce yaklaşık iki dakika boşta kalır. Intel Grafik Ortak Kullanıcı Arayüzü Hizmeti (igfxCUIService.exe).

Daha sonrasında, SysJoker, Living off the Land'i kullanarak araba hakkında bilgi toplayacak (LOtL) komutlar. SysJoker, sonuçları depolamak için çeşitli geçici metin dosyaları kullanır. Bu metin dosyaları hemen silinir, JSON nesnesi olarak kaydedildi, ve ardından microsoft_Windows.dll dosyasına kodlanır ve yazılır.rapor okur.

Verileri topladıktan sonra, kötü amaçlı yazılım, yeni bir kayıt defteri anahtarı ekleyerek sistemde bir yer edinecek (HKEY_CURRENT_USERYazılımMicrosoftWindowsCurrentVersionÇalıştır). Bir sonraki adım, yukarıda belirtilen yönetim sunucusuna yapılan çağrıdır., Google Drive'a sabit kodlanmış bir bağlantı kullanan.

Enfeksiyonun ilk aşamalarında toplanan bilgiler C'ye gönderildiğinde&C sunucusu, benzersiz bir belirteçle yanıt verir, daha sonra virüslü makinenin tanımlayıcısı olarak hizmet eder. Ayrıca, kontrol sunucusu arka kapıya ek kötü amaçlı yazılım yüklemesini emredebilir, virüslü cihazda belirli komutları yürütün, veya kendini sil. Son iki işlevin henüz tam olarak uygulanmadığı not edildi..

Araştırmacılar, Linux ve macOS sürümlerinin DLL dropper'ına sahip olmadığını yazıyor, ancak genellikle aynı kötü amaçlı işlemleri virüslü cihazda gerçekleştirir.

Platformlar arası SysJoker arka kapısı

Şu ana kadar, kötü amaçlı yazılım herhangi bir özel saldırı grubuyla ilişkili değil, Ancak Intezer SysJoker'in ciddi bir ekibin işi olduğundan emin, nihai amacı veri toplamak ve kurbanın ağında yanlara doğru hareket etmektir., bu da bir sonraki aşamada bir gasp saldırısına yol açabilir.

ne olduğunu bilmek ilginizi çekebilir NS kapoa kötü amaçlı yazılım, WordPress sitelerine bir arka kapı eklentisi yükler, ve şu Yeni XLoader kötü amaçlı yazılım, macOS ve Windows'tan kimlik bilgilerini çalar.

Helga Smith

Bilgisayar bilimlerine her zaman ilgi duymuşumdur., özellikle veri güvenliği ve tema, günümüzde denilen "veri bilimi", ilk gençlik yıllarımdan beri. Baş Editör olarak Virüs Temizleme ekibine gelmeden önce, Birkaç şirkette siber güvenlik uzmanı olarak çalıştım, Amazon'un yüklenicilerinden biri dahil. Başka bir deneyim: Arden ve Reading üniversitelerinde öğretmenlik var.

Cevap bırakın

Bu site spam azaltmak için Akismet kullanır. Yorumunuz verileri işlenirken öğrenin.

Başa dön tuşu