A malware multiplatform baru, kemungkinan didistribusikan melalui paket npm berbahaya, menyebar di bawah radar dengan versi Linux dan Mac yang sepenuhnya tidak terdeteksi di VirusTotal, para peneliti memperingatkan. dari tulisan ini. Ini diunggah ke VirusTotal dengan akhiran ".ts," yang digunakan untuk file TypeScript.
Dubbed SysJoker oleh Intezer, pintu belakang digunakan untuk membuat akses awal pada mesin target. Setelah diinstal, ia dapat mengeksekusi kode tindak lanjut serta perintah tambahan, di mana pelaku jahat dapat melakukan serangan lanjutan atau pivot untuk bergerak lebih jauh ke dalam jaringan perusahaan. Akses awal semacam ini juga merupakan komoditas panas di forum siber bawah tanah, di mana kelompok ransomware dan lainnya dapat membelinya.
Ini pertama kali terlihat pada bulan Desember saat serangan siber pada server web berbasis Linux dari “lembaga pendidikan terkemuka”, kata para peneliti. Melihat pendaftaran domain command-and-control (C2) dan data sampel lainnya, penipu ini tampaknya telah dibuat pada paruh kedua tahun 2021, tambah mereka.
Kemungkinan vektor serangan untuk SysJoker adalah paket npm yang terinfeksi, menurut Analisis Intezer – vektor yang semakin populer untuk menjatuhkan malware ke target. Npm dan repositori kode publik lainnya adalah komunitas pengembang terpusat di mana pembuat kode dapat mengunggah dan mengunduh blok penyusun untuk membangun aplikasi. Jika salah satu dari blok bangunan ini berbahaya, itu dapat ditarik ke sejumlah aplikasi, siap menyerang setiap pengguna dari proyek yang terinfeksi tersebut.
Rutin Infeksi SysJoker
Setelah menemukan target, SysJoker menyamar sebagai pembaruan sistem, kata para peneliti, untuk menghindari kecurigaan . Sementara itu, ia menghasilkan C2 dengan mendekode string yang diambil dari file teks yang dihosting di Google Drive.
“Selama analisis kami, C2 telah berubah tiga kali, menunjukkan penyerang aktif dan memantau mesin yang terinfeksi,” catat para peneliti dalam laporan tersebut. “Berdasarkan viktimologi dan perilaku malware, kami menilai SysJoker mengejar target tertentu.” Perilaku
SysJoker serupa untuk ketiga sistem operasi, menurut Intezer, dengan pengecualian bahwa versi Windows menggunakan dropper tahap pertama.
After execution , SysJoker tidur untuk waktu yang acak, antara satu setengah menit dan dua menit. Kemudian, ia akan membuat direktori C:ProgramDataSystemData dan menyalin dirinya sendiri di sana menggunakan nama file “igfxCUIService.exe” – dengan kata lain, ia menyamar sebagai Intel Graphics Common User Interface Service.
Setelah mengumpulkan informasi sistem (alamat mac , nama pengguna, nomor seri media fisik dan alamat IP), ia mengumpulkan data ke dalam file teks sementara.
“File teks ini segera dihapus, disimpan dalam objek JSON dan kemudian dikodekan dan ditulis ke file bernama 'microsoft_Windows.dll ,`” peneliti mencatat.
SysJoker kemudian akan membangun kegigihan dengan menambahkan entri ke kunci run registri “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun.” Di antara setiap tahap infeksi ini, ia tidur selama periode waktu yang acak.
Membangun Komunikasi C2
Untuk membuat sambungan dengan C2, SysJoker pertama-tama mendekode tautan Google Drive yang di-hardcode menggunakan kunci XOR yang di-hardcode, para peneliti mengamati. Mereka menambahkan kunci yang sama untuk mengenkripsi informasi yang dikirim bolak-balik ke dan dari C2. . Tautan memecahkan kode C2 dan mengirimkan data sidik jari mesin yang dikumpulkan sebelumnya, menurut analisis. C2 membalas dengan token unik – pengenal untuk infeksi tertentu yang akan digunakan untuk melakukan ping ke C2 untuk mendapatkan instruksi.
SysJoker Commands
SysJoker dapat menerima berbagai perintah, termasuk “exe,” “cmd,” “remove_reg” dan “exit” – hanya dua di antaranya diaktifkan pada saat analisis Intezer.
“remove_reg dan exit tidak diterapkan dalam versi saat ini,” jelas peneliti. “Berdasarkan nama instruksi, kita dapat berasumsi bahwa mereka bertanggung jawab atas penghapusan malware sendiri.”
Exe Command
Perintah exe bertugas menjatuhkan dan menjalankan executable.
“SysJoker akan menerima URL ke file .ZIP, direktori untuk jalur tempat file harus dijatuhkan dan nama file yang harus digunakan malware pada executable yang diekstraksi, ”menurut Intezer. “Ini akan mendownload file ini, unzip dan jalankan.”
Setelah eksekusi, malware akan membalas “sukses” jika file berhasil diinstal atau “pengecualian” jika tidak.
Cmd Command
Perintah cmd adalah untuk menjalankan instruksi tahap selanjutnya.
“SysJoker akan memecahkan kode perintah, menjalankannya, dan mengunggah respons perintah ke C2 melalui /api/req/res API,” jelas peneliti. “[Tetapi] selama analisis kami, C2 belum merespons dengan instruksi tahap berikutnya.”
Cara Mendeteksi & Mengurangi Malware SysJoker
Meskipun deteksi VirusTotal rendah hingga tidak ada untuk SysJoker, Intezer memberikan beberapa tips untuk menentukan apakah ia telah bercanda jalannya ke jaringan.
Pengguna atau admin pertama-tama dapat menggunakan pemindai memori untuk mendeteksi muatan SysJoker dalam memori. Mereka juga dapat menggunakan konten deteksi untuk mencari platform endpoint detection and response (EDR) dan security information and event management (SIEM) (postingan Intezer memiliki banyak indikator kompromi dan data lain untuk membantu dalam hal ini).
Jika kompromi terdeteksi, korban dapat ambil langkah-langkah berikut, menurut perusahaan:
- iMenggunakan versi perangkat lunak dan kemungkinan eksploitasi yang diketahui.
Password Reset: On-Demand Event: Fortify 2022 dengan strategi keamanan sandi dibangun untuk ancaman hari ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada pengelolaan kredensial perusahaan, dasar-dasar sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
