SysJoker Backdoor

一个名为 SysJoker 的几乎未被发现的后门威胁正在威胁运行 Windows、Linux 和 macOS 的计算机。该恶意软件是由 Intezer 发现的，根据他们的发现，Linux 和 macOS 变种是完全无法检测到，而 Windows 的检测率极低。

第一次涉及 SysJoker 的攻击发生在 2021 年 12 月，目标是属于“领先教育机构”的 Linux 网络服务器。攻击者可以通过各种不同的方式利用通过 SysJoker 建立的非法访问。他们可以部署额外的威胁来升级攻击、寻找新目标，甚至将后门访问权限出售给其他网络犯罪集团。

技术细节

目前可用的数据表明，SysJoker 的初始攻击向量可能是通过一个威胁性的 npm 包。 NPM 代表“Node Package Manager”，它是 JavaScript 运行时 Node.js 的默认包管理器。它也是用于发布开源 Node.js 项目的最大在线存储库之一。

SysJoker 在 Linux 和 macOS 上的行为是相同的，而在 Windows 上，威胁利用了专用的第一阶段释放器。一旦进入目标设备，后门将首先处于休眠状态一段随机时间，介于一分半到两分钟之间。 SysJoker 将在其恶意编程的每一步之间进入这种非活动模式。

威胁将创建 C:\ProgramData\SystemData\ 目录并将其自身复制到名称“igfxCUIService.exe”下，试图以真正的英特尔图形通用用户界面服务的形式出现。将通过向“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”注入新条目来建立持久性机制。

C2 服务器和命令

SysJoker 将收集有关受感染系统的各种信息。收集的数据可能包括设备的 MAC 地址、IP 地址用户名等。该指纹数据将被放置在一个临时文本文件中最初，然后存储在 JSON 对象中，最后编码并写入名为“microsoft_Windows.dll”的文件中。

在数据被泄露之前，SysJoker 必须检索其命令和控制（C2、C&C）服务器的地址。该过程的第一步是使用 XOR 密钥对硬编码的 Google Drive 链接进行解码，该 XOR 密钥也被硬编码到威胁中。 Drive 链接指向一个包含动态更改的编码 C2 地址的文本文件。建立成功连接并发送收集到的受害者信息后，SysJoker 将等待其他命令。

该威胁能够识别多个不同的命令，但一些（'remover_reg' 和'exit'）在当前的 SysJoker 版本中没有完全实现。两个启用的命令是“exe”和“cmd”。通过“exe”命令，攻击者可以指示 SysJoker 获取并执行其他损坏的可执行文件。传入的命令将包括文件应该被删除的目录及其名称。 “cmd”命令负责接收然后在系统上运行任意命令。