Tấn công backdoor SysJoker đa nền tảng Windows, macOS và Linux

Helga SmithTháng 1 14, 2022Cập nhật mới nhất: Tháng 1 15, 2022
1 phút đọc

chuyên gia Intezer đã phát hiện ra một cửa hậu SysJoker đa nền tảng mới được sử dụng để chống lại các thiết bị trên Windows, Linux và macOS là một phần của chiến dịch gián điệp mạng.

Theo các nhà nghiên cứu, phần mềm độc hại đã hoạt động ít nhất từ ​​nửa cuối năm 2021. Phần mềm độc hại được phát hiện lần đầu tiên vào tháng 12 2021 trong cuộc tấn công vào máy chủ web dựa trên Linux thuộc sở hữu của một tổ chức giáo dục giấu tên.

Phần mềm độc hại được viết bằng C++ và mỗi biến thể được điều chỉnh cho một hệ điều hành cụ thể. Tuy nhiên, tất cả các biến thể không được phát hiện bởi các giải pháp bảo mật được trình bày trên Tổng số virus.

SysJoker giả dạng một bản cập nhật hệ thống và tạo ra C của nó&Máy chủ C bằng cách giải mã chuỗi nhận được từ tệp văn bản được lưu trữ trên Google Lái xe. Đánh giá theo nạn nhân và hành vi của phần mềm độc hại, chúng tôi tin rằng SysJoker được sử dụng trong các cuộc tấn công có chủ đích.các nhà phân tích nói.

Cửa hậu SysJoker đa nền tảng

Trên Windows, SysJoker sử dụng trình nhỏ giọt cấp đầu tiên ở định dạng DLL, sau đó thực thi các lệnh PowerShell và thực hiện như sau: Lấy tệp ZIP SysJoker từ GitHub kho lưu trữ, trích xuất nó vào C:\ProgramData\RecoverySystem\, và thực hiện tải trọng. Phần mềm độc hại không hoạt động trong khoảng hai phút trước khi nó tạo một thư mục mới và tự sao chép dưới dạng Intel Dịch vụ giao diện người dùng chung đồ họa (igfxCUIService.exe).

Sau đó, SysJoker sẽ thu thập thông tin về chiếc xe bằng cách sử dụng Living off the Land (LOtL) lệnh. SysJoker sử dụng nhiều tệp văn bản tạm thời khác nhau để lưu trữ kết quả. Các tập tin văn bản này sẽ bị xóa ngay lập tức, được lưu dưới dạng đối tượng JSON, sau đó được mã hóa và ghi vào tệp microsoft_Windows.dll.báo cáo đọc.

Sau khi thu thập dữ liệu, phần mềm độc hại sẽ có chỗ đứng trong hệ thống bằng cách thêm khóa đăng ký mới (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run). Bước tiếp theo là cuộc gọi nói trên đến máy chủ quản lý, sử dụng liên kết được mã hóa cứng tới Google Drive.

Khi thông tin được thu thập trong giai đoạn lây nhiễm đầu tiên được gửi đến C&Máy chủ C, nó phản hồi bằng một mã thông báo duy nhất, sau này đóng vai trò là mã định danh của máy bị nhiễm. Cũng, máy chủ điều khiển có thể ra lệnh cho cửa hậu cài đặt thêm phần mềm độc hại, thực thi các lệnh cụ thể trên thiết bị bị nhiễm, hoặc xóa chính nó. Cần lưu ý là 2 chức năng cuối cùng vẫn chưa được triển khai đầy đủ.

Các nhà nghiên cứu viết rằng phiên bản Linux và macOS không có trình nhỏ giọt DLL, nhưng thường thực hiện các hoạt động độc hại tương tự trên thiết bị bị nhiễm.

Cửa hậu SysJoker đa nền tảng

Cho đến nay, phần mềm độc hại không liên quan đến bất kỳ nhóm hack cụ thể nào, Nhưng số nguyên tự tin rằng SysJoker là sản phẩm của một nhóm nghiêm túc, mục tiêu cuối cùng là thu thập dữ liệu và di chuyển ngang trong mạng của nạn nhân, mà cuối cùng có thể dẫn đến một cuộc tấn công tống tiền ở giai đoạn tiếp theo.

Bạn có thể quan tâm để biết những gì Các Capo phần mềm độc hại cài đặt plugin cửa hậu trên các trang web WordPress, Và cái đó Mới Trình tải XLoader phần mềm độc hại đánh cắp thông tin xác thực từ macOS và Windows.

thẻ
Helga SmithTháng 1 14, 2022Cập nhật mới nhất: Tháng 1 15, 2022
1 phút đọc

Helga Smith

Tôi luôn quan tâm đến khoa học máy tính, đặc biệt là bảo mật dữ liệu và chủ đề, được gọi là ngày nay "khoa học dữ liệu", kể từ khi tôi còn ở tuổi thiếu niên. Trước khi vào nhóm Diệt Virus với vai trò Tổng biên tập, Tôi đã làm việc với tư cách là chuyên gia an ninh mạng tại một số công ty, bao gồm một trong những nhà thầu của Amazon. Một trải nghiệm khác: Tôi đã nhận được đang giảng dạy tại các trường đại học Arden và Reading.

Gửi phản hồi

Trang web này sử dụng akismet để giảm spam. Tìm hiểu cách xử lý dữ liệu bình luận của bạn.

Nút quay lại đầu trang