Çok platformlu kötü amaçlı yazılımın ‘SysJoker’ olarak bilinen ve Rust programlama dilinde kodun tamamen yeniden yazılmasını sağlayan yeni bir sürümü tespit edildi.
SysJoker, ilk olarak 2022’nin başlarında Intezer tarafından belgelenen ve o sırada C++ sürümlerini keşfedip analiz eden gizli bir Windows, Linux ve macOS kötü amaçlı yazılımıdır.
Arka kapı, bellek içi yük yükleme, çok sayıda kalıcılık mekanizması, “karadan geçinme” komutları ve VirusTotal’daki tüm işletim sistemi varyantları için tam bir tespit eksikliği içeriyordu.
Check Point tarafından Rust tabanlı yeni varyantların incelenmesi, daha önce adı belirtilmeyen arka kapı ile 2016-2017 yıllarına dayanan ‘Elektrik Tozu Operasyonu’ arasında bir bağlantı olduğunu ortaya çıkardı.
Bu operasyon, İsrail’i hedef alan ve ‘Gazze Siber Çetesi’ olarak bilinen Hamas bağlantılı bir tehdit aktörü tarafından düzenlendiğine inanılan bir dizi siber saldırıyı içeriyordu.
Yeni SysJoker
SysJoker’in Rust tabanlı versiyonu ilk kez VirusTotal’a 12 Ekim 2023’te sunuldu ve bu, İsrail ile Hamas arasındaki savaşın kızıştığı döneme denk geldi.
Kötü amaçlı yazılım, tespit ve analizden kaçınmak için kod dizeleri için rastgele uyku aralıkları ve karmaşık özel şifreleme kullanır.
İlk başlatmada kalıcılık için PowerShell’i kullanarak kayıt defteri değişikliği yapar ve çıkar. Daha sonraki yürütmelerde, adresini OneDrive URL’sinden aldığı C2 (komut ve kontrol) sunucusuyla iletişim kurar.
SysJoker’in birincil rolü, JSON kodlu komutların alınması yoluyla yönlendirilen, ele geçirilen sisteme ek yükler getirmek ve yüklemektir.
Kötü amaçlı yazılım hala işletim sistemi sürümü, kullanıcı adı, MAC adresi vb. sistem bilgilerini toplayıp C2’ye gönderse de önceki sürümlerde görülen komut yürütme yeteneklerinden yoksundur. Bu, gelecekteki bir sürümde geri gelebilir veya arka kapının geliştiricileri tarafından daha hafif ve daha gizli hale getirilmesi için kaldırılmış olabilir.
Check Point, belirli özelliklerine göre ‘DMADevice’ ve ‘AppMessagingRegistrar’ adını verdikleri iki SysJoker örneğini daha keşfetti ancak hepsinin benzer operasyonel kalıpları takip ettiğini belirtiyor.
Hamas’la olası bağlantılar
Check Point’in SysJoker’i Hamas’a bağlı tehdit grubu ‘Gaza Cybergang’a potansiyel olarak bağlamasına izin veren özel unsur, kalıcılığı sağlamak için kullanılan PowerShell komutundaki ‘StdRegProv’ WMI sınıfını kullanıyor.
Bu yöntem, ‘Elektrik Tozu Operasyonu’ kampanyası kapsamında İsrail Elektrik Şirketine yönelik geçmiş saldırılarda da görülmüştü.
Etkinlikler arasındaki diğer benzerlikler arasında belirli komut dosyası komutlarının uygulanması, veri toplama yöntemleri ve API temalı URL’lerin kullanılması yer alır.
Bütün bunlar ve mevcut kanıtlar göz önüne alındığında, atıflara duyulan güven kesin değildir.