พบมัลแวร์แบบ multi-platform เวอร์ชันใหม่ที่มีชื่อว่า 'SysJoker' ที่ได้เปลี่ยนมาใช้ภาษา Rust ในการเขียนโค้ดเพื่อโจมตีเป้าหมาย
SysJoker เป็นมัลแวร์ที่มุ่งเป้าหมายการโจมตีไปยัง Windows, Linux และ macOS โดยถูกพบครั้งแรกโดย Intezer เมื่อต้นปี 2022 ซึ่งใช้ภาษา C++ ในการเขียนโค้ดเพื่อโจมตีเป้าหมาย ก่อนที่จะเปลี่ยนมาใช้ภาษา Rust แทนในปัจจุบัน
โดย backdoor มีความสามารถในการโหลดเพย์โหลดใน memory, การแฝงตัวในระบบ (Persistence), การเรียกใช้คำสั่งแบบ "living off the land" และความสามารถในการหลีกเลี่ยงการตรวจสอบได้จาก VirusTotal สำหรับ backdoor ในทุกระบบปฏิบัติการ
Check Point พบ backdoor ที่ใช้ภาษา Rust ที่ไม่สามารถระบุแหล่งที่มาก่อนหน้านี้กับ 'Operation Electric Powder' ตั้งแต่ปี 2016-2017 ซึ่งเชื่อมโยงกับการโจมตีทางไซเบอร์หลายครั้งที่มุ่งเป้าไปที่ประเทศอิสราเอล โดยเชื่อว่ามาจากกลุ่มแฮ็กเกอร์ในเครือข่ายของกลุ่มฮามาสในชื่อ "Gaza Cybergang"
SysJoker Backdoor
SysJoker ที่ใช้ภาษา Rust ถูกวิเคราะห์จาก VirusTotal ครั้งแรกเมื่อวันที่ 12 ตุลาคม 2023 ซึ่งใกล้เคียงกับการเริ่มขึ้นของสงครามระหว่างอิสราเอล และฮามาส โดย SysJoker จะใช้การหยุดทำงานเป็นช่วง ๆ แบบสุ่ม และการเข้ารหัสที่ซับซ้อนสำหรับโค้ดของมัลแวร์ เพื่อหลบเลี่ยงการตรวจจับ และการวิเคราะห์
โดยในการทำงานครั้งแรก มัลแวร์จะดำเนินการแก้ไข registry เพื่อแฝงตัวในระบบโดยใช้ PowerShell และทำงานในภายหลัง รวมถึงสร้างการเชื่อมต่อกับC2 (command and control) server โดยใช้ URL ที่อยู่บน OneDrive
โดยหน้าที่หลักของ SysJoker Backdoor คือการขโมยข้อมูล และโหลดเพย์โหลดอันตรายเพิ่มเติมบนระบบที่ถูกโจมตี ซึ่งสั่งการผ่านคำสั่งที่เข้ารหัสด้วย JSON
นอกจากนี้ SysJoker ยังรวบรวมข้อมูลระบบต่าง ๆ เช่น เวอร์ชันระบบปฏิบัติการ, ชื่อผู้ใช้, MAC address และอื่น ๆ เพื่อส่งไปยัง C2 server แต่พบว่าในเวอร์ชันนี้จะไม่มีความสามารถในการโจมตีบางอย่างที่มีในเวอร์ชั่นก่อนหน้า ซึ่งอาจจะถูกเพิ่มมาในเวอร์ชั่นถัดไป หรือถูก Hacker ถอดออกไปเพื่อทำให้การแฝงตัวทำได้ดียิ่งขึ้น
ทั้งนี้ Check Point ได้พบตัวอย่าง SysJoker อีกสองตัวอย่างที่มีชื่อว่า 'DMADevice' และ 'AppMessagingRegistrar' ซึ่งพบว่ามีรูปแบบการปฏิบัติงานที่คล้ายกัน
ความเกี่ยวข้องกับกลุ่มฮามาส
Check Point พบองค์ประกอบบางอย่างที่เชื่องโยง SysJoker กับกลุ่มแฮ็กเกอร์ในเครือข่ายของกลุ่มฮามาสในชื่อ "Gaza Cybergang" ที่กำลังใช้ 'StdRegProv' WMI class ในคำสั่ง PowerShell เพื่อแฝงตัวในระบบของเป้าหมาย ซึ่งวิธีการโจมตีดังกล่าวได้ถูกค้นพบในการโจมตีบริษัท Israel Electric ในอดีต ซึ่งเป็นส่วนหนึ่งของแคมเปญ 'Operation Electric Powder' รวมถึงยังมีความคล้ายคลึงอื่น ๆ ระหว่างการโจมตีอีกด้วย ได้แก่ การใช้คำสั่งสคริปต์บางอย่าง, วิธีการรวบรวมข้อมูล และการใช้ URL ธีม API
ทั้งนี้จากหลักฐานที่มีอยู่ ขณะนี้ยังไม่สามารถยืนยันได้ว่ามีความเชื่อมโยงกันจริง เนื่องจากแหล่งที่มายังไม่เป็นที่แน่ชัด
ที่มา : bleepingcomputer
You must be logged in to post a comment.