跨平台SysJoker後門攻擊Windows, macOS 和 Linux
集成專家 發現了 一個新的跨平台 SysJoker 後門,用於對付 Windows 上的設備, Linux 和 macOS 作為網絡間諜活動的一部分.
據研究人員稱, 該惡意軟件至少從下半年開始就處於活躍狀態 2021. 該惡意軟件於 12 月首次被發現 2021 在對一家未命名的教育機構擁有的基於 Linux 的 Web 服務器進行攻擊期間.
該惡意軟件是用 C++ 編寫的,每個變種都適用於特定的操作系統. 然而, 上提供的安全解決方案未檢測到所有變體 病毒總數.
系統小丑 偽裝成系統更新並生成其 C&C 服務器通過解碼從託管的文本文件接收到的字符串 谷歌 駕駛. 從惡意軟件的受害者和行為判斷, 我們認為 SysJoker 被用於有針對性的攻擊.分析師說.
在 Windows 上, SysJoker 使用 DLL 格式的一級 dropper, 然後執行 PowerShell 命令並執行以下操作: 獲取 SysJoker ZIP 文件 GitHub 存儲庫, 將其提取到 C:\程序數據恢復系統, 並執行有效載荷. 在創建新目錄並將自身複製為 英特爾 圖形通用用戶界面服務 (igfxCUIService.exe).
然後, SysJoker 將使用 Living off the Land 收集有關汽車的信息 (很多) 命令. SysJoker 使用各種臨時文本文件來存儲結果. 這些文本文件被立即刪除, 保存為 JSON 對象, 然後編碼並寫入 microsoft_Windows.dll 文件.報告內容如下.
收集數據後, 惡意軟件將通過添加新的註冊表項在系統中站穩腳跟 (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). 下一步是前面提到的對管理服務器的調用, 它使用到 Google Drive 的硬編碼鏈接.
當在感染的第一階段收集的信息被發送到 C&C服務器, 它以唯一的令牌響應, 之後用作受感染機器的標識符. 也, 控制服務器可以命令後門安裝額外的惡意軟件, 在受感染的設備上執行特定命令, 或刪除自己. 需要注意的是,最後兩個功能還沒有完全實現.
研究人員寫道,Linux 和 macOS 版本沒有 DLL dropper, 但通常在受感染的設備上執行相同的惡意操作.
迄今為止, 該惡意軟件與任何特定的黑客組織無關, 但 因特澤 相信 SysJoker 是一個認真的團隊的作品, 其最終目標是收集數據並在受害者的網絡中橫向移動, 這最終可能導致下一階段的勒索攻擊.
你可能有興趣知道什麼 該 卡波埃 惡意軟件在 WordPress 網站上安裝後門插件, 然後 新的 加載器 惡意軟件從 macOS 和 Windows 竊取憑據.