SysJoker Bakdør

En stort sett uoppdaget bakdørstrussel ved navn SysJoker truer datamaskiner som kjører Windows, Linux og macOS. Skadevaren ble oppdaget av Intezer, og ifølge funnene deres er Linux- og macOS-variantene detuoppdagelig fullstendig, mens Windows har en ekstremt lav deteksjonsrate.

Det første angrepet som involverte SysJoker fant sted i desember 2021 og rettet mot en Linux-nettserver som tilhører en "ledende utdanningsinstitusjon." Angriperne kan utnytte den ulovlige tilgangen som er etablert gjennom SysJoker på en rekke forskjellige måter. De kan distribuere ytterligere trusler for å eskalere angrepet, søke nye mål eller til og med selge bakdørstilgangen til andre nettkriminelle grupper.

Tekniske detaljer

De tilgjengelige dataene tyder på at den første angrepsvektoren til SysJoker kan være gjennom en truende npm-pakke. NPM står for 'Node Package Manager, som er standard pakkebehandling når det gjelder JavaScripts kjøretid Node.js. Det er også et av de største nettarkivene for publisering av åpen kildekode Node.js-prosjekter.

SysJokers oppførsel er identisk på Linux og macOS, mens på Windows bruker trusselen en dedikert første-trinns dropper. Når den først er inne i den målrettede enheten, vil bakdøren først forbli i dvale i en tilfeldig periode, som varierer mellom et og et halvt minutt og to minutter. SysJoker vil gå inn i denne inaktive modusen mellom hvert trinn i den ufine programmeringen.

Trusselen vil opprette C:\ProgramData\SystemData\-katalogen og kopiere seg selv dit under navnet 'igfxCUIService.exe', et forsøk på å fremstå som den ekte Intel Graphics Common User Interface Service. En utholdenhetsmekanisme vil bli etablert ved å injisere en ny oppføring i 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.'

C2-serveren og kommandoer

SysJoker vil samle inn ulike opplysninger om det infiserte systemet. De innhentede dataene kan inkludere enhetens MAC-adresse, IP-adresse brukernavn og mer. Disse fingeravtrykkdataene vil bli plassert i en midlertidig tekstfilførst, deretter lagret i et JSON-objekt, og til slutt kodet og skrevet i en fil kalt 'microsoft_Windows.dll.'

Før dataene kan eksfiltreres, må SysJoker hente adressen til Command-and-Control-serveren (C2, C&C). Det første trinnet i prosessen er å dekode en hardkodet Google Drive-kobling ved å bruke en XOR-nøkkel som også er hardkodet inn i trusselen. Drive-koblingen fører til en tekstfil som inneholder en kodet C2-adresse som endres dynamisk. Etter å ha etablert en vellykket tilkobling og sendt den innsamlede informasjonen om offeret, vil SysJoker vente på ytterligere kommandoer.

Trusselen er i stand til å gjenkjenne flere forskjellige kommandoer, men noen ('remover_reg' og 'exit') er ikke fullt implementert i gjeldende SysJoker-versjoner. De to aktiverte kommandoene er 'exe' og 'cmd.' Gjennom 'exe'-kommandoen kan angriperne instruere SysJoker til å hente og deretter kjøre ytterligere ødelagte kjørbare filer. Den innkommende kommandoen vil inkludere katalogen der filen skal slippes og navnet. 'cmd'-kommandoen er ansvarlig for å motta og deretter kjøre vilkårlige kommandoer på systemet.