Skip links

Novo backdoor SysJoker baseado em Rust vinculado a hackers do Hamas

*Uma nova versão do malware multiplataforma conhecido como ‘SysJoker’ foi detectada, apresentando uma reescrita completa do código na linguagem de programação Rust.

SysJoker é um malware furtivo para Windows, Linux e macOS documentado pela primeira vez por Intezer no  início de 2022 , que descobriu e analisou versões C++ na época.

O backdoor apresentava carregamento de carga útil na memória, uma infinidade de mecanismos de persistência, comandos “vivendo da terra” e uma completa falta de detecção para todas as suas variantes de sistema operacional no VirusTotal.

O exame das novas variantes baseadas em Rust pela  Check Point  estabeleceu uma conexão entre o backdoor anteriormente não atribuído e a ‘Operação Electric Powder’, que remonta a 2016-2017.

Esta operação envolveu uma série de ataques cibernéticos contra Israel, que se acredita terem sido orquestrados por um ator de ameaça afiliado ao Hamas conhecido como ‘Gaza Cybergang’.

Novo SysJoker

*A variante do SysJoker baseada em Rust foi submetida pela primeira vez ao VirusTotal em 12 de outubro de 2023, coincidindo com a escalada da guerra entre Israel e o Hamas.

O malware emprega intervalos de suspensão aleatórios e criptografia personalizada complexa para sequências de código para evitar detecção e análise.

Na primeira inicialização, ele realiza modificação do registro para persistência usando o PowerShell e sai. Nas execuções posteriores, ele estabelece comunicação com o servidor C2 (comando e controle), cujo endereço recupera de uma URL do OneDrive.

A função principal do SysJoker é buscar e carregar cargas adicionais no sistema comprometido, direcionadas por meio da recepção de comandos codificados em JSON.

Embora o malware ainda colete informações do sistema, como versão do sistema operacional, nome de usuário, endereço MAC, etc., e as envie para o C2, ele não possui os recursos de execução de comandos vistos nas versões anteriores. Isso pode retornar em uma versão futura ou ter sido removido pelos desenvolvedores do backdoor para torná-lo mais leve e furtivo.

A Check Point descobriu mais duas amostras do SysJoker que eles chamaram de ‘DMADevice’ e ‘AppMessagingRegistrar’ com base em suas características específicas, mas afirma que todas elas seguem padrões operacionais semelhantes.

Possíveis ligações com o Hamas

*O elemento específico que permitiu à Check Point vincular potencialmente o SysJoker ao grupo de ameaças afiliado ao Hamas ‘Gaza Cybergang’ está utilizando a classe WMI ‘StdRegProv’ no comando PowerShell usado para estabelecer persistência.

Este método foi visto em ataques anteriores contra a Israel Electric Company, parte da campanha ‘Operação Electric Powder’.

Outras semelhanças entre as atividades incluem a implementação de determinados comandos de script, os métodos de coleta de dados e o uso de URLs com tema de API.

Dito isto, e tendo em conta as provas existentes, a confiança na atribuição não é conclusiva.

Fonte: https://www.bleepingcomputer.com/

Para mais Insights de Cibersegurança e conteúdos sobre serviços {soluções} siga nossas redes sociais:

LinkedIn: https://www.linkedin.com/company/securityfirst/

Instagram: https://www.instagram.com/security.first1st/#

This website uses cookies to improve your web experience.
pt_BRPortuguese