SysJoker Backdoor

SysJoker Backdoor Përshkrimi

Një kërcënim kryesisht i pazbuluar nga prapavija i quajtur SysJoker po kërcënon kompjuterët që përdorin Windows, Linux dhe macOS. Malware u zbulua nga Intezer dhe, sipas gjetjeve të tyre, variantet Linux dhe macOS janëi pazbulueshëm plotësisht, ndërsa Windows-i ka një shkallë zbulimi jashtëzakonisht të ulët.

Sulmi i parë që përfshin SysJoker u zhvillua në dhjetor 2021 dhe synoi një uebserver Linux që i përkiste një 'institucioni arsimor kryesor'. Sulmuesit mund të përdorin aksesin e paligjshëm të krijuar përmes SysJoker në mënyra të ndryshme. Ata mund të vendosin kërcënime shtesë për të përshkallëzuar sulmin, për të kërkuar objektiva të reja, apo edhe për të shitur aksesin e pasme grupeve të tjera kriminale kibernetike.

Detaje teknike

Të dhënat e disponueshme aktualisht sugjerojnë se vektori fillestar i sulmit të SysJoker mund të jetë përmes një pakete kërcënuese npm. NPM do të thotë 'Node Package Manager, i cili është menaxheri i parazgjedhur i paketave kur bëhet fjalë për kohën e ekzekutimit të JavaScript Node.js. Është gjithashtu një nga depot më të mëdha në internet për publikimin e projekteve me burim të hapur Node.js.

Sjellja e SysJoker është identike në Linux dhe macOS, ndërsa në Windows, kërcënimi përdor një pikatore të dedikuar të fazës së parë. Pasi të futeni në pajisjen e synuar, dera e pasme fillimisht do të qëndrojë e fjetur për një periudhë të rastësishme, duke filluar nga një minutë e gjysmë deri në dy minuta. SysJoker do të hyjë në këtë modalitet joaktiv midis çdo hapi të programimit të tij të poshtër.

Kërcënimi do të krijojë drejtorinë C:\ProgramData\SystemData\ dhe do ta kopjojë veten atje nën emrin 'igfxCUIService.exe', një përpjekje për t'u shfaqur si shërbimi i vërtetë i ndërfaqes së përbashkët të përdoruesit të Grafikës Intel. Një mekanizëm i qëndrueshëm do të krijohet duke injektuar një hyrje të re në 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.'

Serveri dhe komandat C2

SysJoker do të mbledhë informacione të ndryshme rreth sistemit të infektuar. Të dhënat e grumbulluara mund të përfshijnë adresën MAC të pajisjes, emrin e përdoruesit të adresës IP dhe më shumë. Këto të dhëna të gjurmëve të gishtave do të vendosen brenda një skedari teksti të përkohshëmfillimisht, pastaj ruhet në një objekt JSON, dhe në fund kodohet dhe shkruhet brenda një skedari të quajtur 'microsoft_Windows.dll'.

Përpara se të dhënat të mund të ekfiltohen, SysJoker duhet të marrë adresën e serverit të tij Command-and-Control (C2, C&C). Hapi i parë në proces është deshifrimi i një lidhjeje të koduar të Google Drive duke përdorur një çelës XOR që gjithashtu është i koduar në kërcënim. Lidhja e Drive të çon në një skedar teksti që përmban një adresë të koduar C2 që ndryshon në mënyrë dinamike. Pas vendosjes së një lidhjeje të suksesshme dhe dërgimit të informacionit të mbledhur për viktimën, SysJoker do të presë për komanda shtesë.

Kërcënimi është në gjendje të njohë komanda të shumta të ndryshme, por disa ('remover_reg' dhe 'exit') nuk janë zbatuar plotësisht në versionet aktuale të SysJoker. Dy komandat e aktivizuara janë 'exe' dhe 'cmd'. Nëpërmjet komandës 'exe' sulmuesit mund të udhëzojnë SysJoker të marrë dhe më pas të ekzekutojë ekzekutues shtesë të korruptuar. Komanda hyrëse do të përfshijë direktorinë ku duhet të hidhet skedari dhe emrin e saj. Komanda 'cmd' është përgjegjëse për marrjen dhe ekzekutimin e komandave arbitrare në sistem.