据The Hacker News网站报道,一个名为“ SysJoker ”的新型恶意软件正对Windows、Linux 和 macOS 操作系统构成威胁,可利用跨平台后门来从事间谍活动。
Intezer 研究人员宣称,他们于去年12月首次发现SysJoker,当时SysJoker 正对一家教育机构基于 Linux 的 Web 服务器发动攻击。
SysJoker 采用C++ 编写,通过远程服务器的 dropper 文件传递,该文件在执行时旨在收集有关受感染主机的信息,例如 MAC 地址、用户名、物理媒体序列号和 IP 地址等。
SysJoker会根据不同的操作系统量身定制,伪装成系统更新,通过解码从托管在 Google Drive 上的文本文件中检索到的字符串来生成其 C2(攻击者发送控制命令的服务端、服务器等“基础设施”)。SysJoker在研究人员对其进行分析的过程中,C2更新了3次,但并未发送下一步的命令,表明攻击者处于活跃状态并正在监视受感染的设备。据受害者学和恶意软件的行为,研究人员认为 SysJoker 针对的是特定目标。
Netenrich 的首席威胁猎手 John Bambenek 表示,大多数现代组织都运行各种平台,因此攻击者希望将他们的工具移植到多个平台也就不足为奇了。而一些实力和资源强大的攻击者会通过各种手段去攻击目标环境中的任何东西,并为了达到目的不断调整、优化相关技术。
此外,他还认为,攻击者通过谷歌等在线服务作为攻击链或C2的一部分,反映出各个云供应商在攻击过程中被充分利用,这个问题需要供应商予以解决。
参考来源:
- https://thehackernews.com/2022/01/new-sysjoker-espionage-malware.html
- https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
