SysJoker Backdoor

Ett mestadels oupptäckt bakdörrshot vid namn SysJoker hotar datorer som kör Windows, Linux och macOS. Skadlig programvara upptäcktes av Intezer och enligt deras resultat är Linux- och macOS-varianterna detoupptäckbar helt, medan Windows har en extremt låg upptäcktshastighet.

Den första attacken som involverade SysJoker ägde rum i december 2021 och riktade sig mot en Linux-webbserver som tillhör en "ledande utbildningsinstitution." Angriparna kan utnyttja den olagliga åtkomsten som skapats genom SysJoker på en mängd olika sätt. De kan distribuera ytterligare hot för att eskalera attacken, söka nya mål eller till och med sälja bakdörrsåtkomsten till andra cyberkriminella grupper.

Tekniska detaljer

De för närvarande tillgängliga data tyder på att den initiala attackvektorn för SysJoker kan vara genom ett hotande npm-paket. NPM står för 'Node Package Manager, vilket är standardpakethanteraren när det kommer till JavaScripts runtime Node.js. Det är också ett av de största onlineförråden för publicering av Node.js-projekt med öppen källkod.

SysJokers beteende är identiskt på Linux och macOS, medan på Windows använder hotet en dedikerad första stegs dropper. Väl inne i den riktade enheten förblir bakdörren först vilande under en slumpmässig period, mellan en och en halv minut och två minuter. SysJoker kommer att gå in i detta inaktiva läge mellan varje steg i dess skändliga programmering.

Hotet kommer att skapa katalogen C:\ProgramData\SystemData\ och kopiera sig själv dit under namnet 'igfxCUIService.exe', ett försök att framstå som den riktiga Intel Graphics Common User Interface Service. En beständighetsmekanism kommer att upprättas genom att injicera en ny post i 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.'

C2-servern och kommandon

SysJoker kommer att samla in olika uppgifter om det infekterade systemet. Den samlade informationen kan inkludera enhetens MAC-adress, IP-adress användarnamn och mer. Dessa fingeravtrycksdata kommer att placeras i en temporär textfiltill att börja med, sedan lagras i ett JSON-objekt och slutligen kodas och skrivas in i en fil med namnet 'microsoft_Windows.dll.'

Innan data kan exfiltreras måste SysJoker hämta adressen till sin Command-and-Control-server (C2, C&C). Det första steget i processen är att avkoda en hårdkodad Google Drive-länk med hjälp av en XOR-nyckel som också är hårdkodad i hotet. Drive-länken leder till en textfil som innehåller en kodad C2-adress som ändras dynamiskt. Efter att ha upprättat en framgångsrik anslutning och skickat den insamlade informationen om offret, kommer SysJoker att vänta på ytterligare kommandon.

Hotet kan känna igen flera olika kommandon men vissa ('remover_reg' och 'exit') är inte fullt implementerade i nuvarande SysJoker-versioner. De två aktiverade kommandona är 'exe' och 'cmd.' Genom kommandot 'exe' kan angriparna instruera SysJoker att hämta och sedan köra ytterligare korrupta körbara filer. Det inkommande kommandot kommer att inkludera katalogen där filen ska släppas och dess namn. Kommandot 'cmd' är ansvarigt för att ta emot och sedan köra godtyckliga kommandon på systemet.