新的「三位一體」後門惡意軟體出現，Windows、macOS 與 Linux ...

S觀察員

新的「三位一體」後門惡意軟體出現，Windows、macOS 與 Linux 都會受害

雖說以 Windows 系統為目標的惡意軟體一抓一大把，但真正能夠在 Windows、macOS 與 Linux 三種不同平台上逞兇的惡意軟體很罕見。在 2021 年 12 月時， Intezer 的安全研究人員首度發現這款惡意軟體並將之命名為「SysJoker」。從某種角度來說，SysJoker 在 Windows 以外的兩個平台上更加狡猾，VirusTotal 也無法檢測到惡意軟體在 Linux 和 macOS 上的種種跡象。

來源：
https://www.kocpc.com.tw/archives/422749



SysJoker 的攻擊走我們已經耳熟能詳的「開後門」方式，為利用它的攻擊者提供一個祕密間諜工具，可以隱密地滲透系統並控制上面的所有操作。Intezel 推斷， SysJoker 應該是高階威脅參與者（Advanced Threat Actor）的產物，並且暗示有潛在勒索軟體的風險，在該單位的報告中寫道：「根據惡意軟體的能力」，我們評估攻擊的目標是間諜活動，以及橫向的擴散，很可能也會將投放勒索軟體作為下一階段的攻擊。」

SysJoker 偽裝成系統更新，並通過解碼從 Google 雲端硬碟上託管文件檔案中檢索到的字串來生成其 C2。在 Intezer 分析過程中，C2 更改了三次，表明攻擊者處於活動狀態並正在監視受感染的電腦，根據受害者和惡意軟體的行為，可推斷 SysJoker 或許在追逐特定目標。SysJoker 已上傳到 VirusTotal，後綴為.ts，用於 TypeScript 檔，此惡意軟體很可能是透過受感染的 npm 包為散播媒介。下圖就是 SysJoker 與 C2 的通訊流程：



這款惡意軟體是從零開始重新編寫，並非其他惡意軟體的變種，其細節在以往的攻擊中未曾見過，在過去的實務上也幾乎沒有發現過針對 Linux 的惡意軟體。攻擊者註冊了至少 4 個不同的網域，並且從頭開始為 Windows、macOS 與 Linux 編寫，心思之縝密、手法之新穎很有觀察的價值。在整個分析過程中，Intezer 也沒有發現攻擊者送出第二階段攻擊或指令，這表明該攻擊有特定目標與特定操控者，多半會是由高階威脅參與者（Advanced Threat Actor）執行下一步驟。

詳細報導：
https://www.kocpc.com.tw/archives/422749