最新发现了一个名为 “SysJoker” 的多平台恶意软件新版本,该版本使用 Rust 编程语言进行了完全重写。SysJoker 是一种可在 Windows、Linux和macOS系统中潜伏的恶意软件。它最初由 Intezer 于2022年初发现,当时是C++ 版本。这个恶意软件具有一些特点,包括能够加载内存中的有效负载、多种持久性机制和"离地生存"命令,而且能成功绕过VirusTotal扫描中各种杀毒软件的检测。
新SysJoker
基于Rust的SysJoker变体于2023年10月12日首次提交给 VirusTotal,此时恰逢以色列和巴勒斯坦之间的战争升级。
该恶意软件通过对代码字符串采用随机睡眠间隔和复杂的自定义加密来逃避检测和分析。首次启动时,它会使用 PowerShell 执行持久性注册表修改并退出。在以后的执行中,它会与 C2(命令和控制)服务器(它从 OneDrive URL 检索的地址)建立通信。SysJoker 的主要作用是在受感染的系统上获取和加载额外的有效负载,通过接收 JSON 编码的命令进行定向。
尽管这个恶意软件仍然会收集操作系统版本、用户名、MAC地址等系统信息,并将其发送到C2服务器,但它缺乏之前版本中的命令执行功能。这可能意味着这个功能在未来的版本中可能会回归,或者已被后门的开发人员剥离,以使其更轻量化且更隐蔽。
可能与哈马斯有关
Check Point 指出,Rust版本可能与2016-2017年的“火药行动”有关。因为此次用于建立持久性的 PowerShell命令中使用了“StdRegProv”WMI 类。该方法在过去针对以色列电力公司的攻击中也被使用过,这是“火药行动”的一部分。(“火药行动”涉及一系列针对以色列的网络攻击,由哈马斯附属的威胁组织“加沙网络团伙”(Gaza Cybergang)一手策划。)
2023.11.24
2023.11.23
2023.11.22
注:本文由E安全编译报道,转载请联系授权并注明来源
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...