SysJoker Backdoor

SysJoker Backdoor Описание

Предимно неоткрита бекдор заплаха, наречена SysJoker, заплашва компютри, работещи под Windows, Linux и macOS. Зловредният софтуер е открит от Intezer и според техните открития вариантите на Linux и macOS санеоткриваем напълно, докато този с Windows има изключително нисък процент на откриване.

Първата атака, включваща SysJoker, се проведе през декември 2021 г. и беше насочена към Linux уеб сървър, принадлежащ на „водеща образователна институция“. Нападателите могат да използват незаконния достъп, установен чрез SysJoker, по различни начини. Те могат да използват допълнителни заплахи, за да ескалират атаката, да търсят нови цели или дори да продадат бекдор достъп на други киберпрестъпни групи.

Технически подробности

Наличните в момента данни предполагат, че първоначалният вектор на атака на SysJoker може да бъде чрез заплашителен npm пакет. NPM означава „Node Package Manager, който е мениджърът на пакети по подразбиране, когато става въпрос за Node.js по време на изпълнение на JavaScript. Освен това е едно от най-големите онлайн хранилища за публикуване на проекти с отворен код Node.js.

Поведението на SysJoker е идентично в Linux и macOS, докато в Windows заплахата използва специален капкомер за първи етап. След като влезе в целевото устройство, задната врата първо ще остане неактивна за произволен период, вариращ между минута и половина и две минути. SysJoker ще влезе в този неактивен режим между всяка стъпка от гнусното си програмиране.

Заплахата ще създаде директорията C:\ProgramData\SystemData\ и ще се копира там под името 'igfxCUIService.exe', опит да се появи като истинската услуга за общ потребителски интерфейс на Intel Graphics. Ще бъде създаден механизъм за постоянство чрез инжектиране на нов запис в „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.“

C2 сървърът и командите

SysJoker ще събира различна информация за заразената система. Събраните данни могат да включват MAC адреса на устройството, потребителското име на IP адреса и др. Тези данни за пръстови отпечатъци ще бъдат поставени във временен текстов файлпървоначално, след това се съхранява в JSON обект и накрая се кодира и записва във файл с име „microsoft_Windows.dll“.

Преди данните да могат да бъдат ексфилтрирани, SysJoker трябва да извлече адреса на своя сървър за командване и управление (C2, C&C). Първата стъпка в процеса е декодиране на твърдо кодирана връзка на Google Drive с помощта на ключ XOR, който също е твърдо кодиран в заплахата. Връзката Drive води до текстов файл, съдържащ кодиран C2 адрес, който се променя динамично. След като установи успешна връзка и изпрати събраната информация за жертвата, SysJoker ще изчака допълнителни команди.

Заплахата е в състояние да разпознава множество различни команди, но някои („remover_reg“ и „exit“) не са напълно внедрени в текущите версии на SysJoker. Двете активирани команди са „exe“ и „cmd“. Чрез командата 'exe' нападателите могат да инструктират SysJoker да извлече и след това да изпълни допълнителни повредени изпълними файлове. Входящата команда ще включва директорията, където файлът трябва да бъде пуснат, и неговото име. Командата 'cmd' е отговорна за получаването и след това изпълнение на произволни команди в системата.