SysJoker Backdoor

En for det meste uopdaget bagdørstrussel ved navn SysJoker truer computere, der kører Windows, Linux og macOS. Malwaren blev opdaget af Intezer, og ifølge deres resultater er Linux- og macOS-varianterne detuopdagelig fuldstændig, mens Windows-en har en ekstrem lav detektionsrate.

Det første angreb, der involverede SysJoker, fandt sted i december 2021 og var rettet mod en Linux-webserver, der tilhører en 'førende uddannelsesinstitution'. Angriberne kan udnytte den ulovlige adgang etableret gennem SysJoker på en række forskellige måder. De kan implementere yderligere trusler for at eskalere angrebet, søge nye mål eller endda sælge bagdørsadgangen til andre cyberkriminelle grupper.

Tekniske detaljer

De aktuelt tilgængelige data tyder på, at den indledende angrebsvektor af SysJoker kunne være gennem en truende npm-pakke. NPM står for 'Node Package Manager, som er standardpakkemanageren, når det kommer til JavaScripts runtime Node.js. Det er også et af de største online-depoter til udgivelse af open source Node.js-projekter.

SysJokers adfærd er identisk på Linux og macOS, mens truslen på Windows bruger en dedikeret første-trins dropper. Når først den er inde i den målrettede enhed, vil bagdøren først forblive i dvale i en tilfældig periode, der spænder mellem et og et halvt minut og to minutter. SysJoker vil gå ind i denne inaktive tilstand mellem hvert trin i dens uhyggelige programmering.

Truslen vil skabe mappen C:\ProgramData\SystemData\ og kopiere sig selv der under navnet 'igfxCUIService.exe', et forsøg på at fremstå som den rigtige Intel Graphics Common User Interface Service. En persistensmekanisme vil blive etableret ved at indsætte en ny post i 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.'

C2-serveren og kommandoer

SysJoker vil indsamle forskellige oplysninger om det inficerede system. De indsamlede data kan omfatte enhedens MAC-adresse, IP-adressebrugernavn og mere. Disse fingeraftryksdata vil blive placeret i en midlertidig tekstfilførst, derefter gemt i et JSON-objekt, og til sidst kodet og skrevet i en fil med navnet 'microsoft_Windows.dll.'

Før dataene kan eksfiltreres, skal SysJoker hente adressen på sin Command-and-Control (C2, C&C) server. Det første trin i processen er at afkode et hardkodet Google Drev-link ved hjælp af en XOR-nøgle, der også er hardkodet ind i truslen. Drev-linket fører til en tekstfil, der indeholder en kodet C2-adresse, der ændres dynamisk. Efter at have etableret en vellykket forbindelse og sendt de indsamlede oplysninger om offeret, vil SysJoker vente på yderligere kommandoer.

Truslen er i stand til at genkende flere forskellige kommandoer, men nogle ('remover_reg' og 'exit') er ikke fuldt implementeret i de nuværende SysJoker-versioner. De to aktiverede kommandoer er 'exe' og 'cmd.' Gennem 'exe'-kommandoen kan angriberne instruere SysJoker til at hente og derefter udføre yderligere korrupte eksekverbare filer. Den indkommende kommando vil inkludere den mappe, hvor filen skal slettes, og dens navn. Kommandoen 'cmd' er ansvarlig for at modtage og derefter køre vilkårlige kommandoer på systemet.