Zadní vrátka SysJoker

Většinou neodhalená hrozba zadních vrátek jménem SysJoker ohrožuje počítače se systémem Windows, Linux a macOS. Malware objevila společnost Intezer a podle jejich zjištění jsou to varianty Linux a macOSzcela nezjistitelné, zatímco systém Windows má extrémně nízkou míru detekce.

První útok zahrnující SysJoker se odehrál v prosinci 2021 a zamířil na linuxový webový server patřící „přední vzdělávací instituci“. Útočníci mohou využít nezákonný přístup vytvořený prostřednictvím SysJoker mnoha různými způsoby. Mohou nasadit další hrozby k eskalaci útoku, hledání nových cílů nebo dokonce prodat zadní vrátka jiným skupinám kyberzločinců.

Technické údaje

Aktuálně dostupná data naznačují, že počátečním vektorem útoku SysJoker by mohl být hrozivý balíček npm. NPM znamená 'Node Package Manager, což je výchozí správce balíčků, pokud jde o běhový modul JavaScript Node.js. Je také jedním z největších online úložišť pro publikování open-source projektů Node.js.

Chování SysJokeru je identické na Linuxu a macOS, zatímco na Windows hrozba využívá vyhrazený kapátko první fáze. Jakmile se dostanou do cílového zařízení, zadní vrátka nejprve zůstanou nečinná po náhodnou dobu v rozmezí od minuty a půl do dvou minut. SysJoker vstoupí do tohoto neaktivního režimu mezi každým krokem svého hanebného programování.

Hrozba vytvoří adresář C:\ProgramData\SystemData\ a zkopíruje se tam pod názvem 'igfxCUIService.exe', což je pokus vypadat jako skutečná služba Intel Graphics Common User Interface Service. Mechanismus perzistence bude vytvořen vložením nové položky do 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.'

Server C2 a příkazy

SysJoker bude shromažďovat různé informace o infikovaném systému. Shromážděná data mohou zahrnovat MAC adresu zařízení, uživatelské jméno IP adresy a další. Tato data otisku prstu budou umístěna do dočasného textového souboruzpočátku, poté uložena v objektu JSON a nakonec zakódována a zapsána do souboru s názvem 'microsoft_Windows.dll'.

Než mohou být data exfiltrována, musí SysJoker získat adresu svého serveru Command-and-Control (C2, C&C). Prvním krokem v procesu je dekódování napevno zakódovaného odkazu na Disk Google pomocí klíče XOR, který je také pevně zakódován do hrozby. Odkaz na Disk vede k textovému souboru obsahujícímu zakódovanou adresu C2, která se dynamicky mění. Po navázání úspěšného spojení a odeslání shromážděných informací o oběti bude SysJoker čekat na další příkazy.

Hrozba je schopna rozpoznat více různých příkazů, ale některé ('remover_reg' a 'exit') nejsou v aktuálních verzích SysJoker plně implementovány. Dva povolené příkazy jsou 'exe' a 'cmd.' Prostřednictvím příkazu 'exe' mohou útočníci instruovat SysJoker k načtení a následnému spuštění dalších poškozených spustitelných souborů. Příchozí příkaz bude obsahovat adresář, kam má být soubor zrušen, a jeho název. Příkaz 'cmd' je zodpovědný za příjem a následné spuštění libovolných příkazů v systému.