SysJoker Backdoor

SysJoker Backdoor 説明

SysJokerという名前のほとんど検出されていないバックドアの脅威は、Windows、Linux、およびmacOSを実行しているコンピューターを脅かしています。マルウェアはIntezerによって発見され、その調査結果によると、LinuxとmacOSの亜種はWindowsのものは非常に低い検出率を持っていますが、完全に検出できません。

SysJokerが関与する最初の攻撃は、2021年12月に発生し、「主要な教育機関」に属するLinuxWebサーバーを標的にしました。攻撃者は、さまざまな方法でSysJokerを介して確立された不正アクセスを利用できます。追加の脅威を展開して、攻撃をエスカレートしたり、新しいターゲットを探したり、バックドアアクセスを他のサイバー犯罪グループに売り込んだりする可能性があります。

技術的な詳細

現在入手可能なデータは、SysJokerの最初の攻撃ベクトルが脅威的なnpmパッケージを介している可能性があることを示唆しています。 NPMは 'Node Package Managerの略で、JavaScriptのランタイムNode.jsに関してはデフォルトのパッケージマネージャーです。また、オープンソースのNode.jsプロジェクトを公開するための最大のオンラインリポジトリの1つです。

SysJokerの動作はLinuxとmacOSで同じですが、Windowsでは、脅威は専用の第1段階のドロッパーを利用します。ターゲットデバイス内に入ると、バックドアは最初に1分半から2分の範囲のランダムな期間休止状態になります。 SysJokerは、不正なプログラミングの各ステップの間にこの非アクティブモードに入ります。

脅威はC:\ ProgramData \ SystemData \ディレクトリを作成し、そこに「igfxCUIService.exe」という名前で自分自身をコピーします。これは、実際のインテルグラフィックス共通ユーザーインターフェイスサービスとして表示されようとします。永続性メカニズムは、「HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run」に新しいエントリを挿入することによって確立されます。

C2サーバーとコマンド

SysJokerは、感染したシステムに関するさまざまな情報を収集します。収集されたデータには、デバイスのMACアドレス、IPアドレスのユーザー名などが含まれる場合があります。このフィンガープリントデータは、一時的なテキストファイル内に配置されます最初はJSONオブジェクトに格納され、最後に「microsoft_Windows.dll」という名前のファイル内にエンコードおよび書き込まれます。

データを盗み出す前に、SysJokerはコマンドアンドコントロール(C2、C&C)サーバーのアドレスを取得する必要があります。プロセスの最初のステップは、脅威にハードコードされているXORキーを使用してハードコードされたGoogleドライブリンクをデコードすることです。ドライブリンクは、動的に変化するエンコードされたC2アドレスを含むテキストファイルにつながります。正常な接続を確立し、被害者に関する収集された情報を送信した後、SysJokerは追加のコマンドを待ちます。

この脅威は複数の異なるコマンドを認識できますが、一部( 'remover_reg'および 'exit')は現在のSysJokerバージョンでは完全には実装されていません。有効な2つのコマンドは、「exe」と「cmd」です。攻撃者は、「exe」コマンドを使用して、破損した実行可能ファイルを追加でフェッチして実行するようにSysJokerに指示できます。着信コマンドには、ファイルをドロップするディレクトリとその名前が含まれます。 'cmd'コマンドは、システム上で任意のコマンドを受信して実行する役割を果たします。