Filistinli militan grup Hamas’la bağlantılı saldırganlar, İsrail’deki hedeflere saldırmak için SysJoker çoklu platform arka kapısının yenilenmiş bir versiyonunu kullanıyor; zira ikisi arasındaki mevcut çatışma, çatışmalardaki mevcut duraklamaya rağmen devam ediyor.
Check Point araştırmacıları, Gazze Cybergang (diğer adıyla Molerats) olduğuna inanılan gelişmiş bir kalıcı tehdit (APT) grubunun, İsrail hedeflerine, ilk olarak 2021’de Intezer tarafından keşfedilen, ilişkilendirilmemiş, çok platformlu bir arka kapı olan SysJoker’in Rust tabanlı bir versiyonuyla saldırıyor. geçen hafta sonlarında bir blog yazısında açıklandı.
Araştırmacılar, en son varyantın, orijinal kötü amaçlı yazılımla benzer işlevleri koruduğunu ancak orijinal dili C++’dan Rust programlama diline tamamen yeniden yazıldığını ve bunun kötü amaçlı yazılımda önemli bir evrime işaret ettiğini belirtti. APT ayrıca dinamik komuta ve kontrol (C2) sunucusu URL’lerini depolamak için önceki versiyonlarda kullanılan Google Drive yerine OneDrive’ı kullanıyor.
Araştırmacılar, “Bu kodu Rust’a aktarmanın basit bir yöntemi olmadığından, bu, kötü amaçlı yazılımın tamamen yeniden yazıldığını ve potansiyel olarak gelecekteki değişiklikler ve iyileştirmeler için bir temel oluşturabileceğini gösteriyor” dedi.
İlk kez sekiz yıl önce piyasaya sürülen platformdan bağımsız Rust, tespit edilmesi ve tersine mühendislik yapılmasını zorlaştıran güvenlik özellikleri nedeniyle hem kuruluşlar hem de bilgisayar korsanları tarafından giderek daha fazla tercih edilen bir programlama dilidir.
Yeni SysJoker Oyunda
SysJoker’in Check Point tarafından keşfedilen Rust tabanlı versiyonu, birkaç ay önce 7 Ağustos’ta derlendikten sonra 12 Ekim’de VirusTotal’a sunuldu. Araştırmacılar, “çeşitli aşamalarda rastgele uyku aralıklarının” kullanılması da dahil olmak üzere bazı dikkate değer kaçınma özellikleri gözlemlediler. gönderiye göre, olası bir sandbox veya anti-analiz önlemi olarak hizmet edebilecek şekilde uygulanması.
Varyant, kalıcılığa dayalı olarak ilk yürütmeyi sonraki yürütmelerden ayırmayı amaçlayan iki çalışma moduna sahiptir. Mod, kötü amaçlı yazılımın belirli bir yoldaki (C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi.exe) varlığına bağlı olarak iki olası aşamadan birine ilerler.
Kötü amaçlı yazılım kalıcılıktan çalışıyorsa, C2 sunucu adresini almak için ikili dosya içinde sabit kodlanmış ve şifrelenmiş bir OneDrive URL’siyle bağlantı kurar. Gönderiye göre “OneDrive’ı kullanmak, saldırganların C2 adresini kolayca değiştirmesine olanak tanıyor ve bu da onların itibara dayalı farklı hizmetlerin önünde kalmalarını sağlıyor.” “Bu davranış SysJoker’in farklı versiyonlarında tutarlı kalıyor.”
Örnek farklı bir konumdan çalışıyorsa (bu, örneğin ilk kez yürütüldüğünü gösterir), kötü amaçlı yazılım kendisini C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi yoluna kopyalar. exe’yi çalıştırır ve ardından PowerShell’i kullanarak yeni oluşturulan yoldan kendini çalıştırır.
SysJoker daha sonra C2’ye geri gönderilmek üzere virüslü sistem hakkında Windows sürümü, kullanıcı adı, MAC adresi ve diğer çeşitli veriler dahil olmak üzere bilgi toplamaya devam eder.
Yeni bulunan Rust varyantına ek olarak Check Point, biraz daha karmaşık iki yeni SysJoker örneğini daha ortaya çıkardı.
Önceki Saldırıya Bağlantılar
Check Point ayrıca, Rust tabanlı SysJoker kullanılarak yapılan son saldırılar ile İsrail Elektrik Şirketine karşı Gazze Cybergang’a atfedilen 2016-2017 Elektrik Tozu Operasyonu arasında, operasyonlar arasındaki önemli zaman farkına rağmen bir bağlantı buldu. ClearSky tarafından hazırlanan bir raporda ortaya çıkan Elektrik Tozu Operasyonu, hem Windows hem de Android kötü amaçlı yazılımlarını yaymak için kimlik avı ve sahte Facebook sayfaları kullandı.
Araştırmacılar, her iki kampanyanın da API temalı URL’ler kullandığını ve komut dosyası komutlarını benzer şekilde uyguladığını belirtti. Son SysJoker saldırılarında kalıcılık için kullanılan PowerShell komutu ile Elektrik Tozu Operasyonu arasında da benzerlikler olduğu belirtildi.
Araştırmacılar, “benzersiz” PowerShell komutunun SysJoker tarafından diğer iki dizeyle birlikte kullanılan özel şifrelemeyle ilişkili bir dize olduğunu belirtti: Araştırmacılar, son C2 adresini içeren OneDrive URL’si ve OneDrive’a yapılan istekten alınan C2 adresini belirtti.
Gönderiye göre “SysJoker’in birden fazla çeşidi arasında paylaşılıyor ve daha önce ClearSky tarafından bildirilen Elektrik Tozu Operasyonu ile ilişkili yalnızca başka bir kampanyayla paylaşıldığı görülüyor.”
Check Point, kuruluşların hedef olup olmadıklarını belirlemelerine yardımcı olmak için SysJoker saldırılarıyla ilişkili güvenlik ihlali göstergelerinin (IOC’ler) ve karmaların bir listesini içeriyordu. Uç nokta koruması ve tehdit emülasyon araçları, potansiyel kurbanların güvenliğinin sağlanmasına ve tehlikeye karşı korunmasına da yardımcı olabilir.