Złośliwe oprogramowanie napisane na zamówienie wykryte w systemach Windows, macOS i Linux

Microsoft
Kilka wskaźników wskazuje, że trojan zdalnego dostępu (RAT) jest zadaniem wyrafinowanego menedżera zagrożeń.

W grudniu 2021 r. zespół ds. bezpieczeństwa firmy Intezer zidentyfikował niestandardowe złośliwe oprogramowanie na serwerze sieciowym Linux wiodącej instytucji edukacyjnej. Szkodliwe oprogramowanie, tak zwane SysJoker, później okazało się mieć zarówno warianty Mac, jak i Windows, co zwiększało jego zdolność do infekowania pożądanych systemów. Warianty macOS i Linux są obecnie niewykrywalne przez większość produktów antywirusowych i skanerów.

Niestandardowy trojan zdalnego dostępu (RAT) oparty na C, który pozostawał niewykryty przez kilka miesięcy, mógł zostać wydany w połowie lub pod koniec 2021 roku. Program, nazwany SysJoker przez zespół ds. bezpieczeństwa firmy Intezer, podszywa się pod aktualizację systemu w celu system operacyjny środowiska. Każdy rodzaj złośliwego oprogramowania jest dostosowany do systemu operacyjnego, którego jest celem, a wiele z nich okazało się trudnych lub niemożliwych do wykrycia. Według VirusTotal, firmy agregującej narzędzia antywirusowe i skanujące, wersje programu dla systemów MacOS i Linux pozostają niewykrywalne.

Zachowanie narzędzia RAT jest podobne we wszystkich systemach operacyjnych, których dotyczy problem. Po uruchomieniu tworzy i kopiuje się do określonego katalogu, naśladując usługę Intel Graphics Common User Interface Service, igfxCUIService.exe. Po wykonaniu kilku dodatkowych operacji program zacznie zbierać informacje o maszynie, takie jak adres MAC, numer seryjny i adres IP. Wpis na blogu

Intezer zawiera szczegółowe wyjaśnienie zachowania złośliwego oprogramowania, schematów szyfrowania i deszyfrowania oraz instrukcji dowodzenia i kontroli (C2).

Blog dostarcza czytelnikom informacji na temat kroków wykrywania i reagowania, które można podjąć w celu ustalenia, czy Twoja organizacja została naruszona, oraz dalszych kroków, które należy podjąć. Intezer Protect może być używany do wyszukiwania złośliwego kodu w systemach opartych na systemie Linux. Firma oferuje bezpłatną i społecznościową wersję produktu do przeprowadzenia analizy. Systemy Windows powinny używać skanera punktów końcowych firmy Intezer. Właścicielom zaatakowanych systemów zaleca się:

Zabicie procesów związanych z SysJokerem i usunięcie odpowiednich mechanizmów utrwalania oraz wszystkich plików związanych z SysJokerem:
Przeprowadzenie skanowania pamięci na zainfekowanej maszynie
Badanie złośliwego oprogramowania w punkcie wejścia
Jeśli serwer jest już zainfekowany SysJokerem , sprawdź podczas tego dochodzenia:
Sprawdź stan konfiguracji i złożoność hasła dla usług publicznych na komputerze Zainfekowany host
Sprawdzanie wersji oprogramowania i znane exploity mające wpływ na zainfekowane serwery
Analiza zhakowanych organizacji i zachowanie zaprojektowane przez RAT prowadzi badaczy do przekonania, że ​​SysJoker jest przestępczą Zaawansowaną siecią atakuj wyznaczone organizacje w celu szpiegowania i potencjalnie ataków ransomware.

Dodaj komentarz