Một phiên bản mới của phần mềm độc hại đa nền tảng có tên ‘SysJoker’ đã được phát hiện, có tính năng viết lại mã hoàn chỉnh bằng ngôn ngữ lập trình Rust.
SysJoker là một phần mềm độc hại lén lút nhắm vào Windows, Linux và macOS được Intezer ghi lại lần đầu tiên vào đầu năm 2022, người đã phát hiện và phân tích các phiên bản C++ vào thời điểm đó.
Backdoor có tính năng payload tải trong bộ nhớ, rất nhiều cơ chế tồn tại lâu dài, các lệnh “living off the land – sử dụng công cụ có sẵn trên hệ thống” và hoàn toàn không có khả năng phát hiện tất cả các biến thể hệ điều hành của nó trên VirusTotal.
Việc kiểm tra các biến thể dựa trên Rust mới của Check Point đã thiết lập được mối liên hệ giữa backdoor chưa được phân bổ trước đó và ‘Operation Electric Powder’, có từ năm 2016-2017.
Hoạt động này liên quan đến một loạt các cuộc tấn công mạng nhắm vào Israel, được cho là do một kẻ đe dọa liên kết với Hamas được gọi là ‘Gaza Cybergang’ dàn dựng.
SysJoker mới
Biến thể SysJoker dựa trên Rust lần đầu tiên được gửi tới VirusTotal vào ngày 12 tháng 10 năm 2023, trùng với thời điểm cuộc chiến giữa Israel và Hamas leo thang.
Phần mềm độc hại sử dụng các khoảng thời gian ngủ ngẫu nhiên và mã hóa tùy chỉnh phức tạp cho các chuỗi mã để tránh bị phát hiện và phân tích.
Trong lần khởi chạy đầu tiên, nó thực hiện sửa đổi sổ đăng ký để duy trì sử dụng PowerShell và thoát. Sau những lần thực thi sau này, nó sẽ thiết lập liên lạc với máy chủ C2 (lệnh và điều khiển), địa chỉ mà nó truy xuất từ URL OneDrive.
Vai trò chính của SysJoker là tìm nạp và tải các payload bổ sung trên hệ thống bị xâm nhập, được điều khiển thông qua việc nhận các lệnh được mã hóa JSON.
Mặc dù phần mềm độc hại vẫn thu thập thông tin hệ thống như phiên bản hệ điều hành, tên người dùng, địa chỉ MAC, v.v. và gửi đến C2, nhưng nó thiếu khả năng thực thi lệnh như trong các phiên bản trước. Tính năng này có thể quay trở lại trong bản phát hành trong tương lai hoặc đã bị các lập trình viên backdoor loại bỏ để làm cho nó nhẹ hơn và dễ lẩn tránh hơn.
Check Point đã phát hiện thêm hai mẫu SysJoker mà họ đặt tên là ‘DMADevice’ và ‘AppMessagingRegistrar’ dựa trên các đặc điểm cụ thể của chúng, và cho biết chúng đều tuân theo các mô hình hoạt động tương tự.
SysJoker có thể có mối quan hệ với Hamas
Yếu tố cụ thể cho phép Check Point có khả năng liên kết SysJoker với nhóm đe dọa liên kết với Hamas ‘Gaza Cybergang’ đang sử dụng lớp WMI ‘StdRegProv’ trong lệnh PowerShell được sử dụng để thiết lập tính bền bỉ.
Phương pháp này đã được thấy trong các cuộc tấn công trước đây nhằm vào Công ty Điện lực Israel, một phần của chiến dịch ‘Operation Electric Powder’.
Những điểm tương đồng khác giữa các hoạt động bao gồm việc triển khai một số lệnh tập lệnh nhất định, phương pháp thu thập dữ liệu và sử dụng URL theo chủ đề API.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/sysjoker-backdoor-dua-tren-rust-moi-co-lien-quan-den-tin-tac-hamas
