跨平台SysJoker后门攻击Windows, macOS 和 Linux
集成专家 发现了 一个新的跨平台 SysJoker 后门,用于对付 Windows 上的设备, Linux 和 macOS 作为网络间谍活动的一部分.
据研究人员称, 该恶意软件至少从下半年开始就处于活跃状态 2021. 该恶意软件于 12 月首次被发现 2021 在对一家未命名的教育机构拥有的基于 Linux 的 Web 服务器进行攻击期间.
该恶意软件是用 C++ 编写的,每个变种都适用于特定的操作系统. 然而, 上提供的安全解决方案未检测到所有变体 病毒总数.
系统小丑 伪装成系统更新并生成其 C&C 服务器通过解码从托管的文本文件接收到的字符串 谷歌 驾驶. 从恶意软件的受害者和行为判断, 我们认为 SysJoker 被用于有针对性的攻击.分析师说.
在 Windows 上, SysJoker 使用 DLL 格式的一级 dropper, 然后执行 PowerShell 命令并执行以下操作: 从以下位置获取 SysJoker ZIP 文件 GitHub 存储库, 将其提取到 C:\程序数据恢复系统, 并执行有效载荷. 在创建新目录并将自身复制为 英特尔 图形通用用户界面服务 (igfxCUIService.exe).
然后, SysJoker 将使用 Living off the Land 收集有关汽车的信息 (很多) 命令. SysJoker 使用各种临时文本文件来存储结果. 这些文本文件被立即删除, 保存为 JSON 对象, 然后编码并写入 microsoft_Windows.dll 文件.报告内容如下.
收集数据后, 恶意软件将通过添加新的注册表项在系统中站稳脚跟 (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). 下一步是前面提到的对管理服务器的调用, 它使用到 Google Drive 的硬编码链接.
当在感染的第一阶段收集的信息被发送到 C&C服务器, 它以唯一的令牌响应, 之后用作受感染机器的标识符. 也, 控制服务器可以命令后门安装额外的恶意软件, 在受感染的设备上执行特定命令, 或删除自己. 需要注意的是,最后两个功能还没有完全实现.
研究人员写道,Linux 和 macOS 版本没有 DLL dropper, 但通常在受感染的设备上执行相同的恶意操作.
迄今为止, 该恶意软件与任何特定的黑客组织无关, 但 因特泽 相信 SysJoker 是一个认真的团队的作品, 其最终目标是收集数据并在受害者的网络中横向移动, 这最终可能导致下一阶段的勒索攻击.
你可能有兴趣知道什么 该 卡波埃 恶意软件在 WordPress 网站上安装后门插件, 然后 新的 加载器 恶意软件从 macOS 和 Windows 窃取凭据.
