Rilevamento Malware SysJoker
Indice:
Nuovo anno, nuovo inizio! E anche per gli attori delle minacce. Incontra un nuovo malware backdoor che ha colpito sempre di più il dominio informatico negli ultimi mesi. Soprannominato SysJoker, la minaccia ottiene potenti capacità di evasione essendo in grado di colpire i principali sistemi operativi, tra cui Windows, Linux e macOS.
Analisi Malware SysJoker
Il malware SysJoker è stato individuato per la prima volta nel dicembre 2021, mentre gli esperti di sicurezza di Intezer stavano indagando su un attacco contro un server basato su Linux di un’istituzione educativa non identificata. analisi di SysJoker rivela che la nuova minaccia è presumibilmente utilizzata per il cyber-spionaggio e la consegna di payload di secondo stadio. Il malware è in grado di fornire accesso backdoor a sistemi Linux, macOS e Windows, concedendo ai suoi operatori la capacità di eseguire comandi, scaricare e caricare file.
Sebbene scritto da zero per i principali sistemi operativi, SysJoker mostra un comportamento simile su tutte le principali piattaforme. Dopo aver guadagnato la prima breccia nell’istanza target, il backdoor è in grado di raccogliere dati di sistema, ottenere persistenza e comunicare con il server di comando e controllo (C&C) sotto il controllo degli attaccanti. A seconda delle istruzioni ricevute dagli operatori SysJoker tramite il server C&C, la minaccia può scaricare ed eseguire payload dannosi e eseguire comandi aggiuntivi. Notare che i ricercatori hanno identificato che SysJoker supporta due comandi precedentemente non implementati, presumibilmente destinati all’auto-eliminazione.
Gli esperti di sicurezza suggeriscono che SysJoker è stato sviluppato da avversari altamente sofisticati poiché il nuovo malware non ha alcuna sovrapposizione di codice con altre minacce esistenti, ottiene impressionanti capacità di evasione ed è usato esclusivamente in attacchi mirati. Inoltre, il codice di SysJoker è sviluppato da zero per tutti i sistemi operativi target.
Catena di Uccisione degli Attacchi e Capacità Maligne
Intezer avverte che SysJoker, quando mira ai sistemi macOS e Linux, è camuffato come un aggiornamento di sistema. Per le istanze Windows, gli operatori utilizzano un altro trucco, camuffando la minaccia come un driver Intel. Notare che i nomi dei driver falsi sono piuttosto generici, con la maggior parte di essi presentati come “updateMacOS”, “updateSystem”, ecc.
Dopo la prima infezione, SysJoker inizia a raccogliere dati di sistema e di rete attraverso comandi Living off the Land (LotL). I dati vengono quindi registrati e trasferiti immediatamente al server C&C. Nella fase successiva, il malware potenzia la sua posizione, aggiungendo nuove voci a una chiave di registro. Infine, il malware si collega al server C&C degli attaccanti utilizzando un link Google Drive hardcoded per ricevere istruzioni aggiuntive.
SysJoker ha iniziato a essere attivamente sfruttato dai nemici nella seconda metà del 2021, con gli operatori di malware particolarmente attenti nella scelta delle loro vittime. In effetti, un piccolo numero di campioni di SysJoker è stato rilevato in circolazione, indicando la natura mirata delle campagne.
D’altra parte, il malware è passato inosservato per quasi sei mesi a causa delle sue capacità di evasione. In particolare, gli attori delle minacce hanno messo molto impegno nell’offuscare i domini del server C&C dedicati. I domini sono recuperati dinamicamente da un link Google Drive rendendo facile aggiornare l’indirizzo. Inoltre, il traffico a Google drive di solito non è considerato sospetto in una rete.
Rilevamento del Malware SysJoker Backdoor
Poiché questo nuovo malware SysJoker furtivo sta aprendo la strada per compromettere macchine che funzionano su macOS, Windows e Linux, è tempo di aumentare efficacemente le difese contro questo backdoor multi-piattaforma. Per identificare possibili attacchi, opta per il download di un set di regole Sigma gratuite dal Team SOC Prime che rilevano modelli di comportamento del backdoor SysJoker.
SysJoker Backdoor C2 (via proxy)
SysJoker Backdoor C2 (via dns)
Modelli di Rilevamento Backdoor SysJoker Windows (via cmdline)
Modelli di Rilevamento Backdoor SysJoker Windows (via file_event)
Modelli di Rilevamento Backdoor SysJoker MacOS (via file_event)
Modelli di Rilevamento Backdoor SysJoker Linux (via file_event)
Queste rilevazioni hanno traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix e Open Distro.
L’elenco completo delle rilevazioni nel repository del Threat Detection Marketplace della piattaforma SOC Prime è disponibile qui.
Desideroso di cacciare le ultime minacce, automatizzare l’indagine delle minacce e ottenere feedback e valutazioni da 20.000+ membri della comunità di professionisti della sicurezza? Unisciti a SOC Prime, la prima piattaforma al mondo per la difesa informatica collaborativa, la caccia alle minacce e la scoperta che si integra con oltre 20 piattaforme SIEM, EDR, XDR. Rendi il tuo rilevamento delle minacce più facile, veloce e semplice. Hai grandi ambizioni nella cyber-sicurezza? Partecipa al nostro programma Threat Bounty, sviluppa le tue regole Sigma e ricevi ricompense ricorrenti per il tuo prezioso contributo!
