SysJoker Backdoor

SysJoker adlı, çoğunlukla tespit edilmeyen bir arka kapı tehdidi, Windows, Linux ve macOS çalıştıran bilgisayarları tehdit ediyor. Kötü amaçlı yazılım Intezer tarafından keşfedildi ve bulgularına göre Linux ve macOS varyantlarıtamamen tespit edilemezken, Windows'un son derece düşük bir algılama oranı vardır.

SysJoker'i içeren ilk saldırı Aralık 2021'de gerçekleşti ve 'önde gelen bir eğitim kurumuna' ait bir Linux web sunucusunu hedef aldı. Saldırganlar, SysJoker aracılığıyla kurulan yasa dışı erişimden çeşitli şekillerde yararlanabilir. Saldırıyı artırmak, yeni hedefler aramak ve hatta arka kapı erişimini diğer siber suçlu gruplarına satmak için ek tehditler uygulayabilirler.

Teknik detaylar

Şu anda mevcut olan veriler, SysJoker'in ilk saldırı vektörünün tehdit edici bir npm paketi aracılığıyla olabileceğini gösteriyor. NPM, JavaScript'in Node.js çalışma zamanı söz konusu olduğunda varsayılan paket yöneticisi olan 'Düğüm Paket Yöneticisi' anlamına gelir. Ayrıca açık kaynaklı Node.js projelerini yayınlamak için en büyük çevrimiçi depolardan biridir.

SysJoker'in davranışı Linux ve macOS'ta aynıdır, Windows'ta ise tehdit özel bir birinci aşama damlalık kullanır. Hedeflenen cihazın içine girdikten sonra, arka kapı ilk olarak bir buçuk ila iki dakika arasında değişen rastgele bir süre boyunca uykuda kalacaktır. SysJoker, hain programlamasının her adımı arasında bu etkin olmayan moda girecektir.

Tehdit, C:\ProgramData\SystemData\ dizinini oluşturacak ve kendisini orada 'igfxCUIService.exe' adı altında kopyalayacak ve gerçek Intel Graphics Ortak Kullanıcı Arayüzü Hizmeti olarak görünmeye çalışacaktır. 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run' dosyasına yeni bir giriş enjekte edilerek bir kalıcılık mekanizması kurulacaktır.

C2 Sunucusu ve Komutları

SysJoker, virüslü sistem hakkında çeşitli bilgiler toplayacaktır. Toplanan veriler, cihazın MAC adresini, IP adresi kullanıcı adını ve daha fazlasını içerebilir. Bu parmak izi verileri geçici bir metin dosyasına yerleştirilecektir.başlangıçta, daha sonra bir JSON nesnesinde depolanır ve son olarak 'microsoft_Windows.dll' adlı bir dosyanın içine kodlanır ve yazılır.

Veriler dışarı aktarılmadan önce, SysJoker Komuta ve Kontrol (C2, C&C) sunucusunun adresini almalıdır. İşlemdeki ilk adım, aynı zamanda tehdide sabit kodlanmış bir XOR anahtarı kullanarak sabit kodlanmış bir Google Drive bağlantısının kodunu çözmektir. Drive bağlantısı, dinamik olarak değişen kodlanmış bir C2 adresini içeren bir metin dosyasına yönlendirir. Başarılı bir bağlantı kurduktan ve kurban hakkında toplanan bilgileri gönderdikten sonra, SysJoker ek komutları bekleyecektir.

Tehdit, birden fazla farklı komutu tanıma yeteneğine sahiptir, ancak bazıları ('remover_reg' ve 'exit') mevcut SysJoker sürümlerinde tam olarak uygulanmamıştır. Etkinleştirilen iki komut 'exe' ve 'cmd'dir. Saldırganlar, 'exe' komutu aracılığıyla SysJoker'e ek bozuk yürütülebilir dosyaları getirmesi ve ardından yürütmesi talimatını verebilir. Gelen komut, dosyanın bırakılacağı dizini ve adını içerecektir. 'cmd' komutu, sistemde rastgele komutları alıp çalıştırmaktan sorumludur.