SysJoker Backdoor

Enimmäkseen havaitsematon takaoven uhka nimeltä SysJoker uhkaa tietokoneita, joissa on Windows, Linux ja macOS. Haittaohjelman löysi Intezer, ja heidän havaintojensa mukaan Linux- ja macOS-versiot ovathavaitsematon kokonaan, kun taas Windowsissa on erittäin alhainen tunnistusprosentti.

Ensimmäinen SysJokeriin kohdistunut hyökkäys tapahtui joulukuussa 2021, ja se kohdistui "johtavalle oppilaitokselle" kuuluvalle Linux-verkkopalvelimelle. Hyökkääjät voivat hyödyntää SysJokerin kautta luotua laitonta pääsyä useilla eri tavoilla. He voivat käyttää lisäuhkia eskaloidakseen hyökkäystä, etsiäkseen uusia kohteita tai jopa myydäkseen takaoven pääsyn muille kyberrikollisryhmille.

Tekniset yksityiskohdat

Tällä hetkellä saatavilla olevat tiedot viittaavat siihen, että SysJokerin alkuperäinen hyökkäysvektori voisi olla uhkaavan npm-paketin kautta. NPM tulee sanoista Node Package Manager, joka on oletusarvoinen paketinhallinta JavaScriptin ajonaikaisessa Node.js:ssa. Se on myös yksi suurimmista online-varastoista avoimen lähdekoodin Node.js-projektien julkaisemiseen.

SysJokerin käyttäytyminen on identtistä Linuxissa ja macOS:ssä, kun taas Windowsissa uhka käyttää omistettua ensimmäisen vaiheen dropperia. Kun takaovi on kohdistetun laitteen sisällä, se jää ensin lepotilaan satunnaisen ajanjakson, joka vaihtelee puolentoista minuutin ja kahden minuutin välillä. SysJoker siirtyy tähän inaktiiviseen tilaan ilkeän ohjelmoinnin jokaisen vaiheen välillä.

Uhka luo C:\ProgramData\SystemData\-hakemiston ja kopioi itsensä sinne nimellä "igfxCUIService.exe" yrittääkseen esiintyä todellisena Intel Graphics Common User Interface Service -palveluna. Pysyvyysmekanismi luodaan lisäämällä uusi merkintä tiedostoon HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

C2-palvelin ja komennot

SysJoker kerää erilaisia tietoja tartunnan saaneesta järjestelmästä. Kerätyt tiedot voivat sisältää laitteen MAC-osoitteen, IP-osoitteen käyttäjänimen ja paljon muuta. Nämä sormenjälkitiedot sijoitetaan väliaikaiseen tekstitiedostoonaluksi, sitten tallennettu JSON-objektiin ja lopuksi koodattu ja kirjoitettu tiedostoon nimeltä "microsoft_Windows.dll".

Ennen kuin tiedot voidaan suodattaa, SysJokerin on haettava Command-and-Control (C2, C&C) -palvelimensa osoite. Prosessin ensimmäinen vaihe on kovakoodatun Google Drive -linkin dekoodaus käyttämällä XOR-avainta, joka on myös kovakoodattu uhkaan. Drive-linkki johtaa tekstitiedostoon, joka sisältää koodatun C2-osoitteen, joka muuttuu dynaamisesti. Kun yhteys on muodostettu ja kerätyt tiedot on lähetetty uhrista, SysJoker odottaa lisäkomentoja.

Uhka pystyy tunnistamaan useita erilaisia komentoja, mutta joitain ("remover_reg" ja "exit") ei ole täysin toteutettu nykyisissä SysJoker-versioissa. Kaksi käytössä olevaa komentoa ovat "exe" ja "cmd". exe-komennon avulla hyökkääjät voivat käskeä SysJokeria hakemaan ja sitten suorittamaan lisää vioittuneita suoritettavia tiedostoja. Saapuva komento sisältää hakemiston, johon tiedosto tulee pudottaa, ja sen nimen. "cmd"-komento vastaa mielivaltaisten komentojen vastaanottamisesta ja suorittamisesta järjestelmässä.