SysJoker Backdoor

W większości niewykryte zagrożenie typu backdoor o nazwie SysJoker zagraża komputerom z systemem Windows, Linux i macOS. Złośliwe oprogramowanie zostało wykryte przez firmę Intezer i zgodnie z jej ustaleniami warianty dla systemów Linux i macOS sącałkowicie niewykrywalny, podczas gdy Windows ma wyjątkowo niski wskaźnik wykrywalności.

Pierwszy atak z udziałem SysJokera miał miejsce w grudniu 2021 r. i był wymierzony w serwer sieciowy z systemem Linux należący do „wiodącej instytucji edukacyjnej”. Osoby atakujące mogą wykorzystać nielegalny dostęp ustanowiony przez SysJoker na wiele różnych sposobów. Mogą wdrażać dodatkowe zagrożenia, aby eskalować atak, szukać nowych celów, a nawet sprzedawać dostęp do tylnych drzwi innym grupom cyberprzestępczym.

Szczegóły techniczne

Obecnie dostępne dane sugerują, że początkowym wektorem ataku SysJokera może być zagrażający pakiet npm. NPM oznacza „Node Package Manager”, który jest domyślnym menedżerem pakietów, jeśli chodzi o środowisko uruchomieniowe JavaScript Node.js. Jest to również jedno z największych repozytoriów online do publikowania projektów Node.js o otwartym kodzie źródłowym.

Zachowanie SysJokera jest identyczne w systemach Linux i macOS, podczas gdy w systemie Windows zagrożenie wykorzystuje dedykowany dropper pierwszego stopnia. Po wejściu do urządzenia docelowego tylne drzwi najpierw pozostaną uśpione przez losowy okres, od półtorej minuty do dwóch minut. SysJoker wejdzie w ten nieaktywny tryb pomiędzy każdym krokiem jego nikczemnego programowania.

Zagrożenie utworzy katalog C:\ProgramData\SystemData\ i skopiuje się tam pod nazwą „igfxCUIService.exe”, próbując pojawić się jako prawdziwa usługa Intel Graphics Common User Interface Service. Mechanizm trwałości zostanie ustanowiony przez wstrzyknięcie nowego wpisu do „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”.

Serwer C2 i polecenia

SysJoker będzie zbierać różne informacje o zainfekowanym systemie. Zebrane dane mogą obejmować adres MAC urządzenia, nazwę użytkownika adresu IP i inne. Te dane odcisków palców zostaną umieszczone w tymczasowym pliku tekstowympoczątkowo, następnie przechowywane w obiekcie JSON, a na końcu zakodowane i zapisane w pliku o nazwie „microsoft_Windows.dll”.

Zanim dane będą mogły zostać eksfiltrowane, SysJoker musi pobrać adres swojego serwera Command-and-Control (C2, C&C). Pierwszym krokiem w tym procesie jest dekodowanie zakodowanego na stałe linku do Dysku Google przy użyciu klucza XOR, który jest również zakodowany w zagrożeniu. Link do Dysku prowadzi do pliku tekstowego zawierającego zakodowany adres C2, który zmienia się dynamicznie. Po nawiązaniu udanego połączenia i przesłaniu zebranych informacji o ofierze, SysJoker będzie czekał na dodatkowe polecenia.

Zagrożenie jest w stanie rozpoznać wiele różnych poleceń, ale niektóre ('remover_reg' i 'exit') nie są w pełni zaimplementowane w obecnych wersjach SysJokera. Dwa włączone polecenia to „exe” i „cmd”. Za pomocą polecenia „exe” atakujący mogą nakazać SysJokerowi pobranie, a następnie wykonanie dodatkowych uszkodzonych plików wykonywalnych. Przychodzące polecenie będzie zawierało katalog, w którym plik powinien zostać usunięty, oraz jego nazwę. Polecenie „cmd” jest odpowiedzialne za odbieranie, a następnie uruchamianie dowolnych poleceń w systemie.