Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
TỔNG QUAN
SysJoker được công ty an ninh mạng Intezer phát hiện lần đầu vào tháng 01/2021, là backdoor đa nền tảng với nhiều biến thể dành cho Windows, Linux và Mac, với khả năng thu thập thông tin hệ thống và thiết lập liên lạc với máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công, bằng cách truy cập vào tệp văn bản được lưu trữ trên Google Drive có chứa URL được mã hóa cứng.
Khi điều tra các biến thể mới hơn của SysJoker được sử dụng trong các cuộc tấn công có chủ đích vào năm 2023, Check Point đã phát hiện ra một biến thể được viết bằng Rust, điều này cho thấy mã nguồn của phần mềm độc hại đã được chỉnh sửa lại hoàn toàn, trong khi vẫn duy trì các chức năng tương tự.
Đồng thời, kẻ tấn công cũng đã chuyển sang sử dụng OneDrive thay vì Google Drive để lưu trữ các URL động máy chủ C2. Sau khi thiết lập kết nối với máy chủ, phần mềm độc hại sẽ chờ các payload bổ sung tiếp theo được thực thi trên máy chủ bị xâm nhập.
Bên cạnh đó, các nhà nghiên cứu cũng phát hiện ra những điểm tương đồng về hành vi với một chiến dịch khác có tên là Operation Electric Powder, với mục tiêu nhắm vào Công ty Điện lực Israel từ tháng 4/2016 đến tháng 02/2017.
Hoạt động này được hãng bảo mật McAfee liên kết với một nhóm tin tặc liên kết với Hamas được gọi là Molerats (còn gọi là Extreme Jackal, Gaza Cyber Gang và TA402).
VMware cho biết vào năm ngoái: “Việc sử dụng phần mềm độc hại đa nền tảng cho phép kẻ tấn công có thể tận dụng lợi thế của việc lây nhiễm rộng rãi. SysJoker có khả năng thực thi các lệnh từ xa cũng như tải xuống và thực thi phần mềm độc hại mới trên máy nạn nhân”.
BIẾN THỂ RUST SYSJOKER
Biến thể SysJoker được viết bằng Rust sử dụng các khoảng thời gian nghỉ ngẫu nhiên ở các giai đoạn thực thi khác nhau, để trốn tránh khả năng phân tích và phát hiện của các giải pháp bảo mật, ví dụ như sandbox. Biến thể mới này có hai chế độ hoạt động được xác định bởi sự hiện diện của nó trong một đường dẫn cụ thể. Điều này nhằm mục đích phân biệt lần thực hiện đầu tiên với bất kỳ lần thực hiện tiếp theo sau đó.
Đầu tiên, nó kiểm tra xem module đang thực thi hiện tại có khớp với đường dẫn C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi.exe hay không. Dựa trên kết quả, phần mềm độc hại sẽ tiến hành một trong hai giai đoạn có thể xảy ra.
Thực hiện đầu tiên
Nếu module hoạt động từ một vị trí khác, cho biết đây là lần đầu được thực thi, thì phần mềm độc hại sẽ tự sao chép vào đường dẫn C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi.exe rồi tự động thực thi từ đường dẫn mới được tạo bằng PowerShell với tham số sau: -Command C:\ProgramData\php-7.4.19-Win32-vc15-x64\php-cgi.exe. Cuối cùng, nó tạo ra một cơ chế bền vững rồi thoát khỏi chương trình.
Các lần thực thi tiếp theo
SysJoker liên hệ với một URL trên OneDrive để lấy địa chỉ máy chủ C2. URL được mã hóa bên trong tệp sau: https: //onedrive.live[.]com/download?resid=16E2AEE4B7A8BBB1!112