SysJoker Backdoor
يهدد تهديد الباب الخلفي الذي لم يتم اكتشافه في الغالب والمسمى SysJoker أجهزة الكمبيوتر التي تعمل بنظام Windows و Linux و macOS. تم اكتشاف البرنامج الضار بواسطة Intezer ، ووفقًا لنتائجهم ، تم اكتشاف متغيرات Linux و macOSلا يمكن اكتشافه تمامًا ، في حين أن معدل اكتشاف نظام التشغيل Windows منخفض للغاية.
وقع الهجوم الأول على SysJoker في ديسمبر 2021 واستهدف خادم ويب Linux ينتمي إلى "مؤسسة تعليمية رائدة". يمكن للمهاجمين الاستفادة من الوصول غير المشروع الذي تم إنشاؤه من خلال SysJoker بعدة طرق مختلفة. يمكنهم نشر تهديدات إضافية لتصعيد الهجوم ، أو البحث عن أهداف جديدة ، أو حتى بيع الوصول الخلفي إلى مجموعات مجرمي الإنترنت الأخرى.
تفاصيل تقنية
تشير البيانات المتاحة حاليًا إلى أن ناقل الهجوم الأولي لـ SysJoker يمكن أن يكون من خلال حزمة npm مهددة. يرمز NPM إلى 'Node Package Manager ، وهو مدير الحزم الافتراضي عندما يتعلق الأمر بوقت تشغيل JavaScript Node.js. كما أنه أحد أكبر المستودعات على الإنترنت لنشر مشاريع Node.js مفتوحة المصدر.
سلوك SysJoker متطابق في Linux و macOS ، بينما في Windows ، يستخدم التهديد قطارة مخصصة للمرحلة الأولى. بمجرد دخول الجهاز المستهدف ، سيبقى الباب الخلفي في حالة سكون أولاً لفترة عشوائية تتراوح بين دقيقة ونصف ودقيقتين. سيدخل SysJoker هذا الوضع غير النشط بين كل خطوة من برمجته الشائنة.
سيؤدي التهديد إلى إنشاء الدليل C: \ ProgramData \ SystemData \ ونسخ نفسه هناك تحت الاسم "igfxCUIService.exe" ، في محاولة للظهور كخدمة واجهة مستخدم مشتركة رسومات Intel حقيقية. سيتم إنشاء آلية استمرار عن طريق إدخال إدخال جديد في "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run."
خادم C2 والأوامر
سيقوم SysJoker بجمع معلومات مختلفة حول النظام المصاب. قد تتضمن البيانات التي تم حصادها عنوان MAC الخاص بالجهاز واسم مستخدم عنوان IP والمزيد. سيتم وضع بيانات البصمات هذه داخل ملف نصي مؤقتفي البداية ، ثم يتم تخزينها في كائن JSON ، ثم يتم ترميزها وكتابتها في النهاية داخل ملف باسم "microsoft_Windows.dll".
قبل التمكن من استخراج البيانات ، يجب على SysJoker استرداد عنوان خادم الأوامر والتحكم (C2 ، C&C) الخاص به. تتمثل الخطوة الأولى في العملية في فك تشفير ارتباط Google Drive الثابت باستخدام مفتاح XOR الذي تم تشفيره أيضًا في التهديد. يؤدي رابط Drive إلى ملف نصي يحتوي على عنوان C2 مشفر يتغير ديناميكيًا. بعد إنشاء اتصال ناجح وإرسال المعلومات التي تم جمعها حول الضحية ، سينتظر SysJoker أوامر إضافية.
التهديد قادر على التعرف على أوامر مختلفة متعددة ولكن بعضها ('remover_reg' و 'exit') لم يتم تنفيذهما بالكامل في إصدارات SysJoker الحالية. الأمرين الممكّنين هما "exe" و "cmd". من خلال الأمر "exe" ، يمكن للمهاجمين توجيه تعليمات إلى SysJoker لجلب الملفات التنفيذية التالفة الإضافية ثم تنفيذها. سيتضمن الأمر الوارد الدليل حيث يجب إسقاط الملف واسمه. يعتبر الأمر "cmd" مسؤولاً عن تلقي الأوامر العشوائية على النظام ثم تشغيلها.
