Бэкдор SysJoker

В основном незамеченный бэкдор под названием SysJoker угрожает компьютерам под управлением Windows, Linux и macOS. Вредоносная программа была обнаружена компанией Intezer, и, согласно их выводам, версии для Linux и macOSполностью необнаружим, в то время как Windows имеет чрезвычайно низкий уровень обнаружения.

Первая атака с участием SysJoker произошла в декабре 2021 года и была нацелена на веб-сервер Linux, принадлежащий «ведущему образовательному учреждению». Злоумышленники могут использовать незаконный доступ, установленный через SysJoker, различными способами. Они могут использовать дополнительные угрозы для эскалации атаки, поиска новых целей или даже продажи бэкдора другим группам киберпреступников.

Технические детали

Имеющиеся в настоящее время данные свидетельствуют о том, что первоначальный вектор атаки SysJoker мог быть через угрожающий пакет npm. NPM расшифровывается как «Диспетчер пакетов узлов», который является менеджером пакетов по умолчанию, когда речь идет о среде выполнения JavaScript Node.js. Это также один из крупнейших онлайн-репозиториев для публикации проектов Node.js с открытым исходным кодом.

Поведение SysJoker идентично в Linux и macOS, в то время как в Windows угроза использует специальный дроппер первого этапа. Оказавшись внутри целевого устройства, бэкдор сначала остается бездействующим в течение случайного периода, в диапазоне от полутора до двух минут. SysJoker будет входить в этот неактивный режим между каждым шагом своего гнусного программирования.

Угроза создаст каталог C:\ProgramData\SystemData\ и скопирует себя туда под именем «igfxCUIService.exe», пытаясь выдать себя за настоящую службу общего пользовательского интерфейса Intel Graphics. Механизм сохранения будет создан путем внедрения новой записи в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run».

Сервер C2 и команды

SysJoker будет собирать различную информацию о зараженной системе. Собранные данные могут включать MAC-адрес устройства, имя пользователя IP-адреса и многое другое. Эти данные для снятия отпечатков пальцев будут помещены во временный текстовый файл.первоначально, затем сохраняется в объекте JSON и, наконец, кодируется и записывается в файл с именем «microsoft_Windows.dll».

Прежде чем данные могут быть удалены, SysJoker должен получить адрес своего сервера управления и контроля (C2, C&C). Первым шагом в этом процессе является декодирование жестко закодированной ссылки на Google Диск с помощью ключа XOR, который также жестко закодирован в угрозе. Ссылка на Диск ведет к текстовому файлу, содержащему закодированный адрес C2, который динамически изменяется. После установления успешного соединения и отправки собранной информации о жертве SysJoker будет ждать дополнительных команд.

Угроза способна распознавать несколько различных команд, но некоторые («remover_reg» и «exit») не полностью реализованы в текущих версиях SysJoker. Две включенные команды: «exe» и «cmd». С помощью команды «exe» злоумышленники могут поручить SysJoker получить, а затем выполнить дополнительные поврежденные исполняемые файлы. Входящая команда будет включать каталог, в который следует поместить файл, и его имя. Команда «cmd» отвечает за получение и последующее выполнение произвольных команд в системе.