SysJoker Backdoor

Een grotendeels onopgemerkte achterdeurbedreiging genaamd SysJoker bedreigt computers met Windows, Linux en macOS. De malware is ontdekt door Intezer en volgens hun bevindingen zijn de Linux- en macOS-varianten:volledig ondetecteerbaar, terwijl de Windows-versie een extreem lage detectiegraad heeft.

De eerste aanval met SysJoker vond plaats in december 2021 en was gericht op een Linux-webserver van een 'toonaangevende onderwijsinstelling'. De aanvallers kunnen op verschillende manieren gebruikmaken van de illegale toegang die via SysJoker tot stand is gebracht. Ze kunnen extra bedreigingen inzetten om de aanval te laten escaleren, nieuwe doelen zoeken of zelfs de achterdeur verkopen aan andere cybercriminelen.

Technische details

De momenteel beschikbare gegevens suggereren dat de initiële aanvalsvector van SysJoker via een bedreigend npm-pakket zou kunnen zijn. NPM staat voor 'Node Package Manager', de standaard pakketbeheerder als het gaat om JavaScript's runtime Node.js. Het is ook een van de grootste online opslagplaatsen voor het publiceren van open-source Node.js-projecten.

Het gedrag van SysJoker is identiek op Linux en macOS, terwijl op Windows de dreiging gebruikmaakt van een speciale dropper in de eerste fase. Eenmaal binnen in het doelapparaat, blijft de achterdeur eerst een willekeurige periode inactief, variërend van anderhalve minuut tot twee minuten. SysJoker zal deze inactieve modus binnengaan tussen elke stap van zijn snode programmering.

De dreiging zal de map C:\ProgramData\SystemData\ creëren en zichzelf daar kopiëren onder de naam 'igfxCUIService.exe', een poging om te verschijnen als de echte Intel Graphics Common User Interface Service. Er wordt een persistentiemechanisme ingesteld door een nieuw item in de 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run' te injecteren.

De C2-server en opdrachten

SysJoker verzamelt verschillende informatie over het geïnfecteerde systeem. De verzamelde gegevens kunnen het MAC-adres van het apparaat, de gebruikersnaam van het IP-adres en meer bevatten. Deze vingerafdrukgegevens worden in een tijdelijk tekstbestand geplaatstaanvankelijk, vervolgens opgeslagen in een JSON-object en uiteindelijk gecodeerd en geschreven in een bestand met de naam 'microsoft_Windows.dll'.

Voordat de gegevens kunnen worden geëxfiltreerd, moet SysJoker het adres van zijn Command-and-Control (C2, C&C)-server ophalen. De eerste stap in het proces is het decoderen van een hardcoded Google Drive-link met behulp van een XOR-sleutel die ook hardgecodeerd is in de dreiging. De Drive-link leidt naar een tekstbestand met een gecodeerd C2-adres dat dynamisch verandert. Nadat een succesvolle verbinding tot stand is gebracht en de verzamelde informatie over het slachtoffer is verzonden, wacht SysJoker op aanvullende opdrachten.

De dreiging kan meerdere verschillende commando's herkennen, maar sommige ('remover_reg' en 'exit') zijn niet volledig geïmplementeerd in de huidige SysJoker-versies. De twee ingeschakelde commando's zijn 'exe' en 'cmd'. Via het 'exe'-commando kunnen de aanvallers SysJoker instrueren om aanvullende beschadigde uitvoerbare bestanden op te halen en vervolgens uit te voeren. De inkomende opdracht bevat de map waar het bestand moet worden neergezet en de naam ervan. De opdracht 'cmd' is verantwoordelijk voor het ontvangen en uitvoeren van willekeurige opdrachten op het systeem.