安全資訊

最新發(fā)現了一個(gè)名為 “SysJoker” 的多平臺惡意軟件新版本，該版本使用 Rust 編程語(yǔ)言進(jìn)行了完全重寫(xiě)。SysJoker 是一種可在 Windows、Linux和macOS系統中潛伏的惡意軟件。它最初由 Intezer 于2022年初發(fā)現，當時(shí)是C++ 版本。這個(gè)惡意軟件具有一些特點(diǎn)，包括能夠加載內存中的有效負載、多種持久性機制和"離地生存"命令，而且能成功繞過(guò)VirusTotal掃描中各種殺毒軟件的檢測。

新SysJoker

基于Rust的SysJoker變體于2023年10月12日首次提交給 VirusTotal，此時(shí)恰逢以色列和巴勒斯坦之間的戰爭升級。

該惡意軟件通過(guò)對代碼字符串采用隨機睡眠間隔和復雜的自定義加密來(lái)逃避檢測和分析。首次啟動(dòng)時(shí)，它會(huì )使用 PowerShell 執行持久性注冊表修改并退出。在以后的執行中，它會(huì )與 C2（命令和控制）服務(wù)器（它從 OneDrive URL 檢索的地址）建立通信。SysJoker 的主要作用是在受感染的系統上獲取和加載額外的有效負載，通過(guò)接收 JSON 編碼的命令進(jìn)行定向。

盡管這個(gè)惡意軟件仍然會(huì )收集操作系統版本、用戶(hù)名、MAC地址等系統信息，并將其發(fā)送到C2服務(wù)器，但它缺乏之前版本中的命令執行功能。這可能意味著(zhù)這個(gè)功能在未來(lái)的版本中可能會(huì )回歸，或者已被后門(mén)的開(kāi)發(fā)人員剝離，以使其更輕量化且更隱蔽。

可能與哈馬斯有關(guān)

Check Point 指出，Rust版本可能與2016-2017年的“火藥行動(dòng)”有關(guān)。因為此次用于建立持久性的 PowerShell命令中使用了“StdRegProv”WMI 類(lèi)。該方法在過(guò)去針對以色列電力公司的攻擊中也被使用過(guò)，這是“火藥行動(dòng)”的一部分。（“火藥行動(dòng)”涉及一系列針對以色列的網(wǎng)絡(luò )攻擊，由哈馬斯附屬的威脅組織“加沙網(wǎng)絡(luò )團伙”（Gaza Cybergang）一手策劃。）

原文來(lái)源：E安全