Ekspertët e Check Point Research kanë identifikuar një version të ri të SysJoker, një backdoor multi-platformë e përdorur nga grupi Gaza Cybergang (i lidhur me Hamasin) për të sulmuar objektiva specifike në Izrael. Një version i mëparshëm u përdor në sulmet kundër kompanive izraelite në 2016-2017.
SysJoker: version i ri i shkruar në Rust
Varianti i ri SysJocker u zbulua në mes të tetorit. Kodi u rishkrua plotësisht në Rust, një gjuhë e njohur programimi ndër-platformë. Backdoor mbështet Windows, macOS dhe Linux. Ai i analizuar nga Check Point Research është për sistemin operativ të Microsoft.
Backdoor përdor disa teknika për të shmangur zbulimin, duke përfshirë lojërat e rastësishme kohore të “gjumit” dhe enkriptimin e personalizuar për kodin. Programi i ekzekutueshëm i malware kopjohet në direktorinë ProgramData, ndërsa një komandë PowerShell vendos qëndrueshmërinë (autostart) duke shtuar një çelës në regjistër.
Adresa e serverit C2 (komandë dhe kontroll) rikuperohet më pas nga OneDrive, tek i cili malware dërgon informacione të ndryshme rreth sistemit, duke përfshirë versionin e Windows, emrin e përdoruesit dhe adresën MAC. Ngarkesat e tjera shkarkohen më pas nëpërmjet komandave JSON. Krahasuar me versionin e mëparshëm (të shkruar në gjuhën C++) mungojnë disa veçori që mund të shtohen në të ardhmen.
Check Point Research zbuloi dy variante të tjera me fluks ekzekutimi me shumë faza dhe module të shumta (instalues, shkarkues dhe backdoor). Duke analizuar kodin, u gjetën konfirmime për autorët e sulmeve të fundit. Ky është grupi Gaza Cybergang që goditi Kompaninë Elektrike të Izraelit në vitin 2017 gjatë fushatës së Operacionit Electric Powder. Në atë rast, është përdorur malware i Windows i përbërë nga droppers, backdoors dhe keyloggers.
Discussion about this post