Phần mềm độc hại gián điệp SysJoker mới Nhắm mục tiêu Người dùng Windows, macOS và Linux

Một cửa hậu đa nền tảng mới có tên là “SysJoker“đã được quan sát thấy nhắm mục tiêu vào các máy chạy hệ điều hành Windows, Linux và macOS như một phần của chiến dịch gián điệp đang diễn ra được cho là đã bắt đầu trong nửa cuối năm 2021.

“SysJoker giả dạng như một bản cập nhật hệ thống và tạo ra [command-and-control server] bằng cách giải mã một chuỗi được truy xuất từ ​​tệp văn bản được trên Google Drive “, các nhà nghiên cứu của Intezer Avigayil Mechtinger, Ryan Robinson và Nicole Fishbein đã lưu ý trong một bài viết kỹ thuật công khai phát hiện của họ.” Dựa trên nạn nhân và hành vi của , chúng tôi đánh giá rằng SysJoker là sau những mục tiêu cụ thể. “

Công ty của Israel, cho rằng công việc này là do một tác nhân đe dọa tiên tiến, cho biết họ lần đầu tiên phát hiện ra bằng chứng về việc cấy ghép vào tháng 12 năm 2021 trong một cuộc tấn công chủ động nhằm vào máy chủ web dựa trên Linux của một tổ chức giáo dục giấu tên.

Một phần mềm độc hại dựa trên C ++, SysJoker được phân phối qua một tệp nhỏ giọt từ một máy chủ từ xa, khi thực thi, được thiết kế để thu thập thông tin về máy chủ bị xâm phạm, chẳng hạn như địa chỉ MAC, tên người dùng, số sê-ri phương tiện vật lý và địa chỉ IP, tất cả trong số đó được mã hóa và truyền trở lại máy chủ.

Xem tiếp:   Trung Quốc đình chỉ thỏa thuận với Alibaba vì không chia sẻ Log4j 0 ngày đầu tiên với chính phủ

Hơn nữa, các kết nối đến máy chủ do kẻ tấn công kiểm soát được thiết lập bằng cách trích xuất URL của miền từ liên kết Google Drive được mã hóa cứng lưu trữ tệp văn bản (“domain.txt”), cho phép máy chủ chuyển tiếp các hướng dẫn đến máy cho phép phần mềm độc hại để chạy các lệnh và tệp thực thi tùy ý, sau đó kết quả được đưa ra lại.

“Thực tế là mã được viết từ đầu và chưa từng được thấy trước đây trong các cuộc tấn công khác [and] chúng tôi đã không chứng kiến ​​giai đoạn thứ hai hoặc lệnh được gửi từ kẻ tấn công […] các nhà nghiên cứu cho biết cuộc tấn công cụ thể thường phù hợp với một tác nhân tiên tiến.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …