Исследователи кибербезопасности пролили свет на Rust-версию кроссплатформенного бэкдора под названием SysJoker, который, по оценкам, использовался связанным с ХАМАС лицом, представляющим угрозу, для нападения на Израиль в условиях продолжающейся войны в регионе.
"Среди наиболее заметных изменений - переход на язык Rust, что указывает на то, что вредоносный код был полностью переписан, сохраняя при этом аналогичные функциональные возможности", - сказал Check Point в анализе, опубликованном в среду. "Кроме того, злоумышленник перешел на использование OneDrive вместо Google Drive для хранения динамических URL-адресов C2 (командно-контрольный сервер)".
SysJoker был публично задокументирован компанией Intezer в январе 2022 года, описав его как бэкдор, способный собирать системную информацию и устанавливать контакт с контролируемым злоумышленником сервером путем доступа к текстовому файлу, размещенному на Google Диске и содержащему жестко закодированный URL.
"Кроссплатформенность позволяет авторам вредоносных программ получать преимущества от широкого распространения инфекции на всех основных платформах", - заявила VMware в прошлом году. "SysJoker имеет возможность удаленно выполнять команды, а также загружать и запускать новое вредоносное ПО на компьютерах жертв".
Обнаружение Rust-версии SysJoker указывает на эволюцию кроссплатформенной угрозы, когда имплантат использует случайные интервалы ожидания на различных этапах своего выполнения, вероятно, в попытке обойти "песочницы".
Одним из примечательных изменений является использование OneDrive для получения зашифрованного адреса сервера C2, который впоследствии анализируется для извлечения IP-адреса и используемого порта.
"Использование OneDrive позволяет злоумышленникам легко изменять адрес C2, что позволяет им опережать различные сервисы, основанные на репутации", - говорится в сообщении Check Point. "Такое поведение остается неизменным в разных версиях SysJoker".
После установления соединения с сервером артефакт ожидает дополнительных полезных нагрузок, которые затем выполняются на скомпрометированном хостинге.
Компания по кибербезопасности заявила, что также обнаружила два невиданных ранее образца SysJoker, разработанных для Windows, которые значительно сложнее, один из которых использует многоступенчатый процесс выполнения для запуска вредоносного ПО.
SysJoker пока официально не приписан ни одному субъекту угрозы или группе. Но недавно собранные доказательства показывают совпадения между бэкдором и образцами вредоносного ПО, использовавшимися в связи с операцией Electric Powder, которая относится к целенаправленной кампании против израильских организаций в период с апреля 2016 по февраль 2017 года.
McAfee связал эту деятельность с агентом по угрозам, связанным с ХАМАСОМ, известным как Molerats (он же Extreme Jackal, Gaza Cyber Gang и TA402).
"В обеих кампаниях использовались URL-адреса на тему API и реализовывались скриптовые команды схожим образом", - отмечает Check Point, повышая вероятность того, что "за обе атаки отвечает один и тот же участник, несмотря на большой временной разрыв между операциями".
"Среди наиболее заметных изменений - переход на язык Rust, что указывает на то, что вредоносный код был полностью переписан, сохраняя при этом аналогичные функциональные возможности", - сказал Check Point в анализе, опубликованном в среду. "Кроме того, злоумышленник перешел на использование OneDrive вместо Google Drive для хранения динамических URL-адресов C2 (командно-контрольный сервер)".
SysJoker был публично задокументирован компанией Intezer в январе 2022 года, описав его как бэкдор, способный собирать системную информацию и устанавливать контакт с контролируемым злоумышленником сервером путем доступа к текстовому файлу, размещенному на Google Диске и содержащему жестко закодированный URL.
"Кроссплатформенность позволяет авторам вредоносных программ получать преимущества от широкого распространения инфекции на всех основных платформах", - заявила VMware в прошлом году. "SysJoker имеет возможность удаленно выполнять команды, а также загружать и запускать новое вредоносное ПО на компьютерах жертв".
Обнаружение Rust-версии SysJoker указывает на эволюцию кроссплатформенной угрозы, когда имплантат использует случайные интервалы ожидания на различных этапах своего выполнения, вероятно, в попытке обойти "песочницы".
Одним из примечательных изменений является использование OneDrive для получения зашифрованного адреса сервера C2, который впоследствии анализируется для извлечения IP-адреса и используемого порта.
"Использование OneDrive позволяет злоумышленникам легко изменять адрес C2, что позволяет им опережать различные сервисы, основанные на репутации", - говорится в сообщении Check Point. "Такое поведение остается неизменным в разных версиях SysJoker".
После установления соединения с сервером артефакт ожидает дополнительных полезных нагрузок, которые затем выполняются на скомпрометированном хостинге.
Компания по кибербезопасности заявила, что также обнаружила два невиданных ранее образца SysJoker, разработанных для Windows, которые значительно сложнее, один из которых использует многоступенчатый процесс выполнения для запуска вредоносного ПО.
SysJoker пока официально не приписан ни одному субъекту угрозы или группе. Но недавно собранные доказательства показывают совпадения между бэкдором и образцами вредоносного ПО, использовавшимися в связи с операцией Electric Powder, которая относится к целенаправленной кампании против израильских организаций в период с апреля 2016 по февраль 2017 года.
McAfee связал эту деятельность с агентом по угрозам, связанным с ХАМАСОМ, известным как Molerats (он же Extreme Jackal, Gaza Cyber Gang и TA402).
"В обеих кампаниях использовались URL-адреса на тему API и реализовывались скриптовые команды схожим образом", - отмечает Check Point, повышая вероятность того, что "за обе атаки отвечает один и тот же участник, несмотря на большой временной разрыв между операциями".
