神魂顛倒論壇

 取回密碼
 加入會員
搜尋
檢視: 4248|回覆: 0
收起左側

[安全資訊] 新的「三位一體」後門惡意軟體出現,Windows、macOS 與 Linux ...

[複製連結]
發表於 2022-1-25 11:35:26 | 顯示全部樓層 |閱讀模式
新的「三位一體」後門惡意軟體出現,Windows、macOS 與 Linux 都會受害

雖說以 Windows 系統為目標的惡意軟體一抓一大把,但真正能夠在 Windows、macOS 與 Linux 三種不同平台上逞兇的惡意軟體很罕見。在 2021 年 12 月時, Intezer 的安全研究人員首度發現這款惡意軟體並將之命名為「SysJoker」。從某種角度來說,SysJoker 在 Windows 以外的兩個平台上更加狡猾,VirusTotal 也無法檢測到惡意軟體在 Linux 和 macOS 上的種種跡象。

來源:
https://www.kocpc.com.tw/archives/422749

1642071203-f2c9c18394b453245d06e8f60fc06988.jpg

SysJoker 的攻擊走我們已經耳熟能詳的「開後門」方式,為利用它的攻擊者提供一個祕密間諜工具,可以隱密地滲透系統並控制上面的所有操作。Intezel 推斷, SysJoker 應該是高階威脅參與者(Advanced Threat Actor)的產物,並且暗示有潛在勒索軟體的風險,在該單位的報告中寫道:「根據惡意軟體的能力」,我們評估攻擊的目標是間諜活動,以及橫向的擴散,很可能也會將投放勒索軟體作為下一階段的攻擊。」

SysJoker 偽裝成系統更新,並通過解碼從 Google 雲端硬碟上託管文件檔案中檢索到的字串來生成其 C2。在 Intezer 分析過程中,C2 更改了三次,表明攻擊者處於活動狀態並正在監視受感染的電腦,根據受害者和惡意軟體的行為,可推斷 SysJoker 或許在追逐特定目標。SysJoker 已上傳到 VirusTotal,後綴為.ts,用於 TypeScript 檔,此惡意軟體很可能是透過受感染的 npm 包為散播媒介。下圖就是 SysJoker 與 C2 的通訊流程:

1642071129-69e60b36c654d21f9d5182e702cf20b0.jpg

這款惡意軟體是從零開始重新編寫,並非其他惡意軟體的變種,其細節在以往的攻擊中未曾見過,在過去的實務上也幾乎沒有發現過針對 Linux 的惡意軟體。攻擊者註冊了至少 4 個不同的網域,並且從頭開始為 Windows、macOS 與 Linux 編寫,心思之縝密、手法之新穎很有觀察的價值。在整個分析過程中,Intezer 也沒有發現攻擊者送出第二階段攻擊或指令,這表明該攻擊有特定目標與特定操控者,多半會是由高階威脅參與者(Advanced Threat Actor)執行下一步驟。

詳細報導:
https://www.kocpc.com.tw/archives/422749






您需要登入後才可以回帖 登入 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|Flash2u論壇

GMT+8, 2024-11-24 07:38 , Processed in 0.050300 second(s), 24 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回覆 回到頂端 返回清單