網(wǎng)絡(luò)戰(zhàn)再升級,針對以色列的惡意軟件時(shí)隔7年再現(xiàn)!
最新發(fā)現(xiàn)了一個(gè)名為 “SysJoker” 的多平臺(tái)惡意軟件新版本,該版本使用 Rust 編程語言進(jìn)行了完全重寫。SysJoker 是一種可在 Windows、Linux和macOS系統(tǒng)中潛伏的惡意軟件。它最初由 Intezer 于2022年初發(fā)現(xiàn),當(dāng)時(shí)是C++ 版本。這個(gè)惡意軟件具有一些特點(diǎn),包括能夠加載內(nèi)存中的有效負(fù)載、多種持久性機(jī)制和"離地生存"命令,而且能成功繞過VirusTotal掃描中各種殺毒軟件的檢測。
新SysJoker
基于Rust的SysJoker變體于2023年10月12日首次提交給 VirusTotal,此時(shí)恰逢以色列和巴勒斯坦之間的戰(zhàn)爭升級。
該惡意軟件通過對代碼字符串采用隨機(jī)睡眠間隔和復(fù)雜的自定義加密來逃避檢測和分析。首次啟動(dòng)時(shí),它會(huì)使用 PowerShell 執(zhí)行持久性注冊表修改并退出。在以后的執(zhí)行中,它會(huì)與 C2(命令和控制)服務(wù)器(它從 OneDrive URL 檢索的地址)建立通信。SysJoker 的主要作用是在受感染的系統(tǒng)上獲取和加載額外的有效負(fù)載,通過接收 JSON 編碼的命令進(jìn)行定向。
盡管這個(gè)惡意軟件仍然會(huì)收集操作系統(tǒng)版本、用戶名、MAC地址等系統(tǒng)信息,并將其發(fā)送到C2服務(wù)器,但它缺乏之前版本中的命令執(zhí)行功能。這可能意味著這個(gè)功能在未來的版本中可能會(huì)回歸,或者已被后門的開發(fā)人員剝離,以使其更輕量化且更隱蔽。
可能與哈馬斯有關(guān)
Check Point 指出,Rust版本可能與2016-2017年的“火藥行動(dòng)”有關(guān)。因?yàn)榇舜斡糜诮⒊志眯缘?PowerShell命令中使用了“StdRegProv”WMI 類。該方法在過去針對以色列電力公司的攻擊中也被使用過,這是“火藥行動(dòng)”的一部分。(“火藥行動(dòng)”涉及一系列針對以色列的網(wǎng)絡(luò)攻擊,由哈馬斯附屬的威脅組織“加沙網(wǎng)絡(luò)團(tuán)伙”(Gaza Cybergang)一手策劃。)
原文來源:E安全