Εντοπίστηκε μια νέα έκδοση του κακόβουλου λογισμικού πολλαπλών πλατφορμών που είναι γνωστό ως «SysJoker», που περιλαμβάνει πλήρη επανεγγραφή κώδικα στη γλώσσα προγραμμα
τι
σμού Rust.
Το SysJoker είναι ένα κρυφό κακόβουλο λογισμικό
Windows
, Linux και macOS που τεκμηριώθηκε για πρώτη φορά από την Intezer στις αρχές του 2022, ο οποίος ανακάλυψε και ανέλυσε εκδόσεις C++ εκείνη την εποχή.
Η κερκόπορτα διέθετε φόρτωση ωφέλιμου φορτίου στη μνήμη, πληθώρα μηχανισμών επιμονής, εντολές “living off the land” και παντελή έλλειψη ανίχνευσης για όλες τις παραλλαγές του λειτουργικού συστήματος στο VirusTotal.
Εξέταση των νέων παραλλαγών που βασίζονται σε Rust από
Σημείο ελέγχου
έχει δημιουργήσει μια σύνδεση μεταξύ της κερκόπορτας που δεν είχε αποδοθεί προηγουμένως και του «Operation Electric Powder», η οποία χρονολογείται από το 2016-2017.
Αυτή η επιχείρηση περιελάμβανε μια σειρά κυβερνοεπιθέσεων με στόχο το
Ισραήλ
, που πιστεύεται ότι ενορχηστρώθηκαν από έναν παράγοντα απειλών που συνδέεται με τη Χαμάς, γνωστό ως «Gaza Cybergang».
Νέο SysJoker
Η παραλλαγή του SysJoker που βασίζεται στο Rust υποβλήθηκε για πρώτη φορά στο VirusTotal στις 12 Οκτωβρίου
2023
, συμπίπτοντας με την κλιμάκωση του πολέμου μεταξύ του Ισραήλ και της Χαμάς.
Το κακόβουλο λογισμικό χρησιμοποιεί τυχαία διαστήματα ύπνου και πολύπλοκη προσαρμοσμένη κρυπτογράφηση για συμβολοσειρές κώδικα για να αποφύγει τον εντοπισμό και την ανάλυση.
Κατά την πρώτη εκκίνηση, εκτελεί τροποποίηση μητρώου για επιμονή χρησιμοποιώντας το PowerShell και εξέρχεται. Σε μεταγενέστερες εκτελέσεις, δημιουργεί
επικοινωνία
με τον διακομιστή C2 (εντολών και ελέγχου), τη διεύθυνση για την οποία ανακτά από μια διεύθυνση URL του OneDrive.
Ο πρωταρχικός ρόλος του SysJoker είναι να ανακτά και να φορτώνει πρόσθετα ωφέλιμα φορτία στο παραβιασμένο σύστημα, κατευθυνόμενα μέσω της λήψης εντολών με κωδικοποίηση JSON.
Ενώ το κακόβουλο λογισμικό εξακολουθεί να συλλέγει πληροφορίες συστήματος, όπως έκδοση λειτουργικού συστήματος, όνομα χρήστη, διεύθυνση MAC κ.λπ., και τις στέλνει στο C2, δεν διαθέτει τις δυνατότητες εκτέλεσης εντολών που βρίσκονταν σε προηγούμενες εκδόσεις. Αυτό μπορεί να επιστρέψει σε μελλοντική κυκλοφορία ή να έχει αφαιρεθεί από τους προγραμματιστές του backdoor για να το κάνουν πιο ελαφρύ και κρυφό.
Η Check Point ανακάλυψε δύο ακόμη δείγματα SysJoker που ονόμασαν «DMADevice» και «AppMessagingRegistrar» με βάση τα ειδικά χαρακτηριστικά τους, αλλά δηλώνει ότι όλα ακολουθούν παρόμοια λειτουργικά μοτίβα.
Πιθανοί δεσμοί με τη Χαμάς
Το συγκεκριμένο στοιχείο που επέτρεψε στο Check Point να συνδέσει δυνητικά το SysJoker με την ομάδα απειλών «Gaza Cybergang» που σχετίζεται με τη Χαμάς χρησιμοποιεί την κλάση WMI «StdRegProv» στην εντολή PowerShell που χρησιμοποιείται για τη δημιουργία επιμονής.
Αυτή η μέθοδος παρατηρήθηκε σε προηγούμενες επιθέσεις κατά της Ισραηλινής Electric Company, μέρος της εκστρατείας «Operation Electric Powder».
Άλλες ομοιότητες μεταξύ των δραστηριοτήτων περιλαμβάνουν την υλοποίηση ορισμένων εντολών σεναρίου, τις μεθόδους συλλογής δεδομένων και τη χρήση διευθύνσεων URL με θέμα το API.
Όλα αυτά που ειπώθηκαν, και δεδομένων των υπαρχόντων στοιχείων, η εμπιστοσύνη στην απόδοση δεν είναι οριστική.
VIA:
bleepingcomputer.com
