SysJoker マルウェア検出

新年、新しいスタート！それは脅威アクターにとっても同様です。ここ数か月の間にサイバードメインを増え続けて攻撃している新しいバックドアマルウェアをご紹介します。「SysJoker」と呼ばれるこの脅威は、強力な回避能力を持ち、Windows、Linux、macOSを含む主要なオペレーティングシステムをターゲットにできるようになっています。

SysJokerマルウェア分析

SysJokerマルウェアは2021年12月に初めて発見され、Intezerのセキュリティ専門家が匿名の教育機関のLinuxベースのサーバーに対する攻撃を調査していた際に見つかりました。 SysJoker分析 新しい脅威はサイバースパイ活動および第二段階のペイロードの配信に使用されているとされます。マルウェアはLinux、macOS、Windowsシステムへのバックドアアクセスを提供でき、その管理者がコマンドを実行し、ファイルをダウンロードおよびアップロードすることを可能にします。

主要なOS用にスクラッチから書かれてはいるものの、SysJokerは全ての主要なプラットフォームで似た行動を示します。ターゲットのインスタンスに最初の足がかりを得ると、バックドアはシステムデータを収集し、永続性を確保し、攻撃者の制御下にあるコマンド・アンド・コントロール（C&C）サーバーと通信することができます。SysJokerのオペレーターからC&Cサーバーを介して受け取る指示に応じて、脅威は悪意のあるペイロードを落として実行したり、追加のコマンドを実行したりすることができます。特筆すべきは、SysJokerはおそらく自己削除用とされる未実装のコマンドを2つサポートしていると研究者が特定したことです。

セキュリティ専門家は、SysJokerが非常に洗練された対戦相手によって開発されたと示唆しています。なぜなら、新しいマルウェアは既存の脅威とコードの重複が全くなく、素晴らしい回避能力を持ち、特定の攻撃にのみ用いられるからです。しかも、SysJokerのコードはターゲットとする全てのオペレーティングシステム向けにゼロから開発されています。

攻撃キルチェーンと悪意のある能力

IntezerはSysJokerがmacOSやLinuxシステムを標的にする際はシステムアップデートとして偽装すると警告しています。Windowsのケースでは、オペレーターが別のトリックを使用し、脅威をIntelドライバーとして偽装します。特に、偽のドライバーの名前はかなり一般的で、その大多数が「updateMacOS」、「updateSystem」などとしてプッシュされています。

初期感染の際、SysJokerはLiving off the Land (LotL)コマンドを使ってシステムおよびネットワークデータを収集し始めます。データはその後ログされ、直ちにC&Cサーバーに転送されます。次の段階では、マルウェアは地位を強化し、レジストリキーに新しいエントリーを追加します。最後に、マルウェアはハードコードされたGoogleドライブリンクを使って攻撃者のC&Cサーバーに接続し、追加の指示を受け取ります。

SysJokerは2021年後半に入ってから積極的に敵対者によって活用されるようになり、マルウェアオペレーターは被害者を選ぶ際に特に注意を払っています。事実として、野生で検出されたSysJokerのサンプルは少数であり、キャンペーンがターゲットを限定していることを示しています。

その一方で、マルウェアはほぼ半年の間レーダーから逃れており、その回避能力のおかげです。特に、脅威アクターは専用C&Cサーバードメインの難読化に多くの労力を費やしています。ドメインは動的にGoogleドライブリンクから取得され、アドレスを簡単に更新可能にしています。さらに、Googleドライブへのトラフィックは通常ネットワークで疑わしいとはみなされません。

SysJokerバックドアマルウェアの検出

この新しいステルスマルウェアSysJokerがmacOS、Windows、Linuxで動作するマシンを侵害する道を開いている今、マルチプラットフォームバックドアに対抗するための効率的な対応を検討する時です。可能な攻撃を識別するには、SysJokerバックドアの行動パターンを検出するSOC Prime Teamからの無料Sigmaルールのセットをダウンロードするようお勧めします。

SysJokerバックドアC2（プロキシ経由）

SysJokerバックドアC2（DNS経由）

SysJoker Windowsバックドア検出パターン（cmdline経由）

SysJoker Windowsバックドア検出パターン（file_event経由）

SysJoker MacOSバックドア検出パターン（file_event経由）

SysJoker Linuxバックドア検出パターン（file_event経由）

これらの検出は、以下のSIEM、EDR & XDRプラットフォームに翻訳されています：Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Chronicle Security、LimaCharlie、SentinelOne、Microsoft Defender ATP、CrowdStrike、Apache Kafka ksqlDB、Carbon Black、Sysmon、Qualys、Securonix、Open Distro。

SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで使用可能な検出の完全なリストはこちら here.

最新の脅威を探索し、自動化された脅威調査を行い、20,000以上のセキュリティ専門家のコミュニティによるフィードバックと審査を受けたいですか？SOC Primeに参加して、協力的サイバー防御、脅威追跡、発見が可能な世界初のプラットフォームにアクセスしましょう。脅威検出をより簡単に、より速く、よりシンプルに実現しましょう。サイバーセキュリティ分野で高く飛ぶ野心を持っていますか？Threat Bountyプログラムに参加し、自分のSigmaルールを開発し、貴重な貢献に対して継続的な報酬を得ましょう！

プラットフォームに移動 Threat Bountyに参加