Moderne teknologi giver os mange ting.

Ny rustbaseret SysJoker-bagdør knyttet til Hamas-hackere


En ny version af malware på tværs af platforme kendt som 'SysJoker' er blevet opdaget, med en komplet kodeomskrivning i Rust-programmeringssproget.

SysJoker είναι ένα κρυφό κακόβουλο λογισμικό Windows, Linux και macOS που τεκμηριώθηκε για πρώτη φορά από την Intezer στις αρχές του 2022, ο οποίος ανακάλυψε και ανέλυσε εκδόσεις C++ εκείνη την εποχή.

Bagdøren indeholdt indlæsning af nyttelast i hukommelsen, flere persistensmekanismer, "living off the land"-kommandoer og en fuldstændig mangel på detektion for alle operativsystemvarianter på VirusTotal.

Gennemgang af nye Rust-baserede varianter fra Kontrolpunkt har lavet en forbindelse mellem den hidtil ikke tilskrevne bagdør og 'Operation Electric Powder', der går tilbage til 2016-2017.

Denne operation omfattede en række cyberangreb rettet mod Israel, som menes at være blevet orkestreret af en Hamas-tilknyttet trusselsaktør kendt som "Gaza Cybergang".

Ny SysJoker

Den Rust-baserede variant af SysJoker blev første gang indsendt til VirusTotal den 12. oktober 2023, hvilket faldt sammen med eskaleringen af ​​krigen mellem Israel og Hamas.

Malwaren bruger tilfældige søvnintervaller og kompleks tilpasset kryptering til kryptering kode for at undgå påvisning og analyse.

Ved første opstart udfører den registreringsændring for vedholdenhed ved hjælp af og udgange. Ved efterfølgende kørsler etablerer den kommunikation med C2-serveren (kommando og kontrol), adressen som den henter fra en OneDrive-URL.

SysJokers primære rolle er at hente og indlæse yderligere nyttelast på det kompromitterede system, dirigeret gennem modtagelse af JSON-kodede kommandoer.

Selvom malwaren stadig indsamler systemoplysninger såsom OS-version, brugernavn, MAC-adresse osv., og sender den til C2, mangler den kommandoudførelsesmulighederne, der findes i tidligere versioner. Dette kan vende tilbage i en fremtidig udgivelse eller blive fjernet af dem af bagdøren for at gøre den lettere og skjult.

Check Point opdagede yderligere to SysJoker-eksempler, som de kaldte 'DMADevice' og 'AppMessagingRegistrar' baseret på deres specifikke karakteristika, men siger, at de alle følger lignende operationelle mønstre.

Mulige bånd til Hamas

Den specifikke komponent, der gjorde det muligt for Check Point at potentielt linke SysJoker til den Hamas-relaterede trusselgruppe "Gaza Cybergang" bruger WMI-klassen "StdRegProv" i PowerShell-kommandoen, der bruges til at skabe persistens.

Denne metode blev set i tidligere angreb mod Israel Electric Company, en del af "Operation Electric Powder"-kampagnen.

Andre ligheder mellem aktiviteterne omfatter implementeringen af ​​visse scriptkommandoer, dataindsamlingsmetoder og brugen af ​​URL'er med API-tema.

Alt det sagt, og givet de eksisterende beviser, er tilliden til præstationen ikke endelig.



VIA: bleepingcomputer.com

Følg TechWar.gr på Google News

svar