Windows, Linux ve Mac için çeşitli varyantlara sahip çok platformlu bir arka kapı olan SysJoker kötü amaçlı yazılımının, Hamas’a bağlı bir APT tarafından İsrail’i hedeflemek için kullanıldığı gözlemlendi. Bu kötü amaçlı yazılım ilk olarak 2021 yılında Intezer tarafından tespit edilmiş ve yakın zamanda hedefli saldırılarda kullanılmıştı.
Checkpoint araştırmacıları, kötü amaçlı yazılımın büyümesini, yürütme akışındaki karmaşıklığı ve en son Rust diline geçişi ve kullandığı yeni altyapıyı açıkladı.
Ayrıca tehdit aktörü, dinamik C2 (komut ve kontrol sunucusu) URL’lerini korumak için Google Drive’ı kullanmaktan OneDrive’a geçiş yaptı.
Bu onların çeşitli itibara dayalı hizmetlere göre avantajlı olmalarını sağlar. Bu davranış çeşitli SysJoker versiyonlarında sabittir.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
SysJoker’in Rust versiyonu
Analiz sırasında, yürütmenin belirli noktalarında, kötü amaçlı yazılım öngörülemeyen uyku aralıkları kullanıyor ve araştırmacılar bunun anti-analiz veya anti-sandbox yöntemleri olabileceğini söylüyor.
SysJoker, C2 sunucu adresini almak üzere bir URL’ye ulaşmak için OneDrive’ı kullanır. Saldırganlar OneDrive’ı kullanarak C2 adresini kolayca değiştirebilirler, bu da onlara diğer itibara dayalı hizmetlere göre avantaj sağlar.
Checkpoint, Cyber Security News ile paylaştığı bir raporda, “Kötü amaçlı yazılım, Windows sürümü, kullanıcı adı, MAC adresi ve diğer çeşitli veriler dahil olmak üzere virüslü sistem hakkında bilgi topluyor” dedi.
Daha önceki SysJoker faaliyetlerinde, kötü amaçlı yazılımın aynı zamanda bir arşivden uzak dosyaları indirip çalıştırmanın yanı sıra operatör tarafından dikte edilen komutları yürütme yeteneğine de sahip olduğunu belirtmekte fayda var. Rust sürümünde bu özellik yoktur.
Windows SysJoker Çeşitleri
Araştırmacılar daha önce kamuya açıklanmayan iki SysJoker örneği daha buldular. Muhtemelen kötü amaçlı yazılımın kamuya açık olarak keşfedilmesi ve incelenmesi nedeniyle, bu örneklerin her ikisi de Rust sürümüne göre marjinal olarak daha yüksek düzeyde karmaşıklığa sahiptir.
Bu örneklerden birinde diğerlerinden farklı olarak bir indirici, bir yükleyici ve ayrı bir veri yükü DLL’sinden oluşan çok aşamalı bir yürütme akışı mevcuttur.
Bu kampanya dinamik olarak yapılandırılmış altyapıdan yararlanır. Kötü amaçlı yazılım önce OneDrive adresiyle bağlantı kuruyor ve ardından C2 adresini içeren JSON’un şifresini çözüyor.
C2 adresi base64 ile şifrelenmiştir ve sabit kodlanmış bir XOR anahtarı kullanır. Bu tehdit aktörü sıklıkla bulut depolama hizmetlerini kullanıyor.
Araştırmacılara göre kötü amaçlı yazılımın ilk sürümleri C++ dilinde yazılmıştı. Bu, kötü amaçlı yazılımın kapsamlı bir yeniden yapılanma sürecinden geçtiğini ve bu kodu Rust’a çevirmenin basit bir yolu olmadığından belki de gelecekteki değişiklikler ve geliştirmeler için bir temel oluşturabileceğini gösteriyor.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.