Certified Security Operations Center GmbH

27. Januar 2022

Kürzlich entdeckte Sysjoker-Backdoor zielt auf Windows-, Linux- und Mac-Geräte ab

Kürzlich entdeckte Sysjoker-Backdoor zielt auf Windows-, Linux- und Mac-Geräte ab

Kürzlich entdeckte Sysjoker-Backdoor zielt auf Windows-, Linux- und Mac-Geräte ab

Kürzlich wurde von Forschern eine bisher nicht dokumentierte Malware aufgedeckt. Die Backdoor mit dem Namen SysJoker ist in C++ geschrieben und zielt auf Windows-, Linux- und Mac-Systeme ab.

Nach Angaben von Intezer wurde die SysJoker-Malware erstmals im Dezember 2021 entdeckt. Die Malware mit der Endung .ts wurde mehrmals bei VirusTotal gemeldet und wird möglicherweise über ein infiziertes npm-Paket verbreitet.

Die Angreifer hinter SysJoker scheinen sehr aktiv zu sein und infizieren kontinuierlich eine große Anzahl von Rechnern. Diese Entwicklung ist auf die häufigen Änderungen des von den Betreibern verwendeten C2-Servers zurückzuführen. Ausgehend von der Viktimologie und dem Verhalten der Malware gehen die Forscher zudem davon aus, dass SysJoker es auf bestimmte Ziele abgesehen hat. Das Verhalten von SysJoker ist bei allen drei Betriebssystemen, mit Ausnahme der Verwendung eines First-Stage-Droppers in der Windows-Version, ähnlich. Sobald SysJoker ein Ziel gefunden hat, tarnt er sich als System-Update und generiert sein C2, indem er eine Zeichenfolge entschlüsselt, die aus einer Textdatei auf Google Drive stammt. Darüber hinaus verwendet er Living off the Land (LotL)-Befehle, um Systeminformationen wie Mac-Adresse, Benutzernamen, Seriennummer des physischen Mediums und IP-Adresse zu sammeln. Living off the Land (LotL)-Attacken beschreiben eine Cyber-Attacke, bei der Angreifer legitime Software, Apps und Funktionen, die bereits im System des Opfers vorhanden sind, verwenden, um böswillige Aktionen darauf durchzuführen.

Wie lassen sich die Angriffe entschärfen?

– Benutzer oder Administratoren können Speicher-Scanner verwenden, um die SysJoker-Payload im Speicher zu erkennen. Sie können die erkannten Inhalte auch für die Suche in Endpoint Detection and Response (EDR)- und Security Information and Event Management (SIEM)-Plattformen nutzen.

-Die Sicherstellung, dass auf den Systemen die neuesten Softwareversionen installiert sind, trägt ebenfalls dazu bei, die Verbreitung solcher Angriffe zu verhindern.

Quelle: https://cyware.com/

error: