信息來源:Freebuf
據(jù)The Hacker News網(wǎng)站報(bào)道,一個(gè)名為“ SysJoker ”的新型惡意軟件正對(duì)Windows、Linux 和 macOS 操作系統(tǒng)構(gòu)成威脅,可利用跨平臺(tái)后門來從事間諜活動(dòng)。
Intezer 研究人員宣稱,他們于去年12月首次發(fā)現(xiàn)SysJoker,當(dāng)時(shí)SysJoker 正對(duì)一家教育機(jī)構(gòu)基于 Linux 的 Web 服務(wù)器發(fā)動(dòng)攻擊。
SysJoker 采用C++ 編寫,通過遠(yuǎn)程服務(wù)器的 dropper 文件傳遞,該文件在執(zhí)行時(shí)旨在收集有關(guān)受感染主機(jī)的信息,例如 MAC 地址、用戶名、物理媒體序列號(hào)和 IP 地址等。
SysJoker會(huì)根據(jù)不同的操作系統(tǒng)量身定制,偽裝成系統(tǒng)更新,通過解碼從托管在 Google Drive 上的文本文件中檢索到的字符串來生成其 C2(攻擊者發(fā)送控制命令的服務(wù)端、服務(wù)器等“基礎(chǔ)設(shè)施”)。SysJoker在研究人員對(duì)其進(jìn)行分析的過程中,C2更新了3次,但并未發(fā)送下一步的命令,表明攻擊者處于活躍狀態(tài)并正在監(jiān)視受感染的設(shè)備。據(jù)受害者學(xué)和惡意軟件的行為,研究人員認(rèn)為 SysJoker 針對(duì)的是特定目標(biāo)。
Netenrich 的首席威脅獵手 John Bambenek 表示,大多數(shù)現(xiàn)代組織都運(yùn)行各種平臺(tái),因此攻擊者希望將他們的工具移植到多個(gè)平臺(tái)也就不足為奇了。而一些實(shí)力和資源強(qiáng)大的攻擊者會(huì)通過各種手段去攻擊目標(biāo)環(huán)境中的任何東西,并為了達(dá)到目的不斷調(diào)整、優(yōu)化相關(guān)技術(shù)。
此外,他還認(rèn)為,攻擊者通過谷歌等在線服務(wù)作為攻擊鏈或C2的一部分,反映出各個(gè)云供應(yīng)商在攻擊過程中被充分利用,這個(gè)問題需要供應(yīng)商予以解決。
參考來源:
https://thehackernews.com/2022/01/new-sysjoker-espionage-malware.html
https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/