Saldırganların Filistinli militan grupla bağlantısı var Hamas İsrail’deki hedeflere saldırmak için SysJoker çoklu platform arka kapısının yenilenmiş bir versiyonunu kullanıyorlar. anlaşmazlık Çatışmadaki mevcut duraklamaya rağmen ikili arasındaki gerginlik devam ediyor.
Gazze Siber Çetesi (diğer adıyla Moleratlar) olduğuna inanılan gelişmiş bir kalıcı tehdit (APT) grubu, İsrail hedeflerine Rust tabanlı bir versiyonla saldırıyor. SistemJokeröncelikle ilişkilendirilmemiş, çok platformlu bir arka kapı keşfetti Check Point araştırmacıları Intezer tarafından 2021’de ortaya çıkarıldı bir blog yazısı geçen haftanın sonlarında.
Araştırmacılar, en son varyantın, orijinal kötü amaçlı yazılımla benzer işlevleri koruduğunu ancak orijinal dili C++’dan Rust programlama diline tamamen yeniden yazıldığını ve bunun kötü amaçlı yazılımda önemli bir evrime işaret ettiğini belirtti. APT ayrıca dinamik komuta ve kontrol (C2) sunucusu URL’lerini depolamak için önceki versiyonlarda kullanılan Google Drive yerine OneDrive’ı kullanıyor.
“Bu kodu taşımanın basit bir yöntemi olmadığından PasAraştırmacılar, kötü amaçlı yazılımın tamamen yeniden yazıldığını ve potansiyel olarak gelecekteki değişiklikler ve iyileştirmeler için bir temel oluşturabileceğini öne sürüyor.” dedi.
platformdan bağımsız Rustİlk olarak sekiz yıl önce piyasaya sürülen, giderek daha fazla tercih edilen bir programlama dilidir kuruluşlar tarafından ve bilgisayar korsanlarının tespit edilmesini ve tersine mühendislik yapılmasını zorlaştıran güvenlik özellikleri nedeniyle benzerdir.
Yeni SysJoker Oyunda
SysJoker’in Check Point tarafından keşfedilen Rust tabanlı versiyonu, birkaç ay önce 7 Ağustos’ta derlendikten sonra 12 Ekim’de VirusTotal’a sunuldu. Araştırmacılar, “çeşitli aşamalarda rastgele uyku aralıklarının” kullanılması da dahil olmak üzere bazı dikkate değer kaçınma özellikleri gözlemlediler. gönderiye göre, olası bir sandbox veya anti-analiz önlemi olarak hizmet edebilecek şekilde uygulanması.
Varyant, kalıcılığa dayalı olarak ilk yürütmeyi sonraki yürütmelerden ayırmayı amaçlayan iki çalışma moduna sahiptir. Mod, kötü amaçlı yazılımın belirli bir yoldaki (C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi.exe) varlığına bağlı olarak iki olası aşamadan birine ilerler.
Kötü amaçlı yazılım kalıcılıktan çalışıyorsa, C2 sunucu adresini almak için ikili dosya içinde sabit kodlanmış ve şifrelenmiş bir OneDrive URL’siyle bağlantı kurar. Gönderiye göre “OneDrive’ı kullanmak, saldırganların C2 adresini kolayca değiştirmesine olanak tanıyor ve bu da onların itibara dayalı farklı hizmetlerin önünde kalmalarını sağlıyor.” “Bu davranış SysJoker’in farklı versiyonlarında tutarlı kalıyor.”
Örnek farklı bir konumdan çalışıyorsa (bu, örneğin ilk kez yürütüldüğünü gösterir), kötü amaçlı yazılım kendisini C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi yoluna kopyalar. exe’yi çalıştırır ve ardından PowerShell’i kullanarak yeni oluşturulan yoldan kendini çalıştırır.
SysJoker daha sonra C2’ye geri gönderilmek üzere virüslü sistem hakkında Windows sürümü, kullanıcı adı, MAC adresi ve diğer çeşitli veriler dahil olmak üzere bilgi toplamaya devam eder.
Yeni bulunan Rust varyantına ek olarak Check Point, biraz daha karmaşık iki yeni SysJoker örneğini daha ortaya çıkardı.
Önceki Saldırıya Bağlantılar
Check Point ayrıca, Rust tabanlı SysJoker kullanılarak yapılan son saldırılar ile İsrail Elektrik Şirketine karşı Gazze Cybergang’a atfedilen 2016-2017 Elektrik Tozu Operasyonu arasında, operasyonlar arasındaki önemli zaman farkına rağmen bir bağlantı buldu. Elektrikli Barut Operasyonu ortaya çıktı ClearSky’nin bir raporundahem Windows hem de Android kötü amaçlı yazılımlarını yaymak için kimlik avı ve sahte Facebook sayfaları kullandı.
Araştırmacılar, her iki kampanyanın da API temalı URL’ler kullandığını ve komut dosyası komutlarını benzer şekilde uyguladığını belirtti. Son SysJoker saldırılarında kalıcılık için kullanılan PowerShell komutu ile Elektrik Tozu Operasyonu arasında da benzerlikler olduğu belirtildi.
Araştırmacılar, “benzersiz” PowerShell komutunun SysJoker tarafından diğer iki dizeyle birlikte kullanılan özel şifrelemeyle ilişkili bir dize olduğunu belirtti: Araştırmacılar, son C2 adresini içeren OneDrive URL’si ve OneDrive’a yapılan istekten alınan C2 adresini belirtti.
Gönderiye göre “SysJoker’in birden fazla çeşidi arasında paylaşılıyor ve daha önce ClearSky tarafından bildirilen Elektrik Tozu Operasyonu ile ilişkili yalnızca başka bir kampanyayla paylaşıldığı görülüyor.”
Check Point, kuruluşların hedef olup olmadıklarını belirlemelerine yardımcı olmak için SysJoker saldırılarıyla ilişkili güvenlik ihlali göstergelerinin (IOC’ler) ve karmaların bir listesini içeriyordu. Uç nokta koruması ve tehdit emülasyon araçları, potansiyel kurbanların güvenliğinin sağlanmasına ve tehlikeye karşı korunmasına da yardımcı olabilir.