SysJoker Backdoor

Večinoma neodkrita grožnja v zaledju z imenom SysJoker ogroža računalnike z operacijskim sistemom Windows, Linux in macOS. Zlonamerno programsko opremo je odkril Intezer in po njihovih ugotovitvah sta različici Linux in macOSpopolnoma nezaznan, medtem ko ima Windows izredno nizko stopnjo zaznave.

Prvi napad, ki je vključeval SysJoker, se je zgodil decembra 2021 in je bil usmerjen na spletni strežnik Linux, ki pripada »vodilni izobraževalni ustanovi«. Napadalci lahko nezakonit dostop, vzpostavljen prek SysJokerja, izkoristijo na različne načine. Lahko uporabijo dodatne grožnje za stopnjevanje napada, iskanje novih tarč ali celo prodajo zakulisnega dostopa drugim skupinam kibernetskih kriminalcev.

Tehnične podrobnosti

Trenutno razpoložljivi podatki kažejo, da bi lahko začetni vektor napada SysJokerja potekal prek grozečega paketa npm. NPM pomeni »Node Package Manager«, ki je privzeti upravljalnik paketov, ko gre za izvajalni Node.js JavaScript. Je tudi eno največjih spletnih skladišč za objavljanje odprtokodnih projektov Node.js.

Obnašanje SysJokerja je enako v Linuxu in macOS, medtem ko v sistemu Windows grožnja uporablja namensko prvostopenjsko kapalko. Ko je v ciljni napravi, bo zadnja vrata najprej ostala v mirovanju za naključno obdobje, ki se giblje med minuto in pol ter dvema minutama. SysJoker bo vstopil v ta neaktivni način med vsakim korakom svojega zlobnega programiranja.

Grožnja bo ustvarila imenik C:\ProgramData\SystemData\ in se tja kopirala pod imenom 'igfxCUIService.exe', s čimer se poskuša prikazati kot prava storitev skupnega uporabniškega vmesnika Intel Graphics. Mehanizem obstojnosti bo vzpostavljen z vbrizgavanjem novega vnosa v 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.'

Strežnik C2 in ukazi

SysJoker bo zbiral različne informacije o okuženem sistemu. Zbrani podatki lahko vključujejo naslov MAC naprave, uporabniško ime naslova IP in drugo. Ti podatki o prstnih odtisih bodo nameščeni v začasno besedilno datotekosprva, nato shranjena v objektu JSON, na koncu pa kodirana in zapisana v datoteki z imenom 'microsoft_Windows.dll'.

Preden se podatki lahko eksfiltrirajo, mora SysJoker pridobiti naslov svojega strežnika za upravljanje in nadzor (C2, C&C). Prvi korak v procesu je dekodiranje trdo kodirane povezave Google Drive z uporabo ključa XOR, ki je tudi trdo kodiran v grožnjo. Povezava Drive vodi do besedilne datoteke, ki vsebuje kodiran naslov C2, ki se dinamično spreminja. Po uspešni vzpostavitvi povezave in pošiljanju zbranih podatkov o žrtvi bo SysJoker počakal na dodatne ukaze.

Grožnja je sposobna prepoznati več različnih ukazov, vendar nekateri (»remover_reg« in »exit«) niso v celoti implementirani v trenutnih različicah SysJokerja. Dva omogočena ukaza sta 'exe' in 'cmd'. Z ukazom 'exe' lahko napadalci SysJokerju naročijo, naj pridobi in nato izvede dodatne poškodovane izvedljive datoteke. Dohodni ukaz bo vključeval imenik, kamor naj bo datoteka spuščena, in njeno ime. Ukaz 'cmd' je odgovoren za sprejemanje in nato izvajanje poljubnih ukazov v sistemu.