Benutzerdefinierte Malware, die auf Windows-, macOS- und Linux-Systemen entdeckt wurde

Warum es wichtig ist: Im Dezember 2021 identifizierte das Sicherheitsteam von Intezer kundenspezifisch geschriebene Malware auf dem Linux-Webserver einer führenden Bildungseinrichtung. Später wurde entdeckt, dass die Malware, seitdem SysJoker genannt, auch Mac- und Windows-basierte Variationen hat, was ihre Fähigkeit, gewünschte Systeme zu infizieren, erhöht. Die macOS- und Linux-Varianten werden derzeit von den meisten Antivirenprodukten und Scannern nicht erkannt.

Der speziell geschriebene, C++-basierte Fernzugriffstrojaner (RAT), der mehrere Monate lang völlig unentdeckt blieb, wurde möglicherweise Mitte bis Ende 2021 veröffentlicht. Das Programm, das vom Sicherheitsteam von Intezer SysJoker genannt wird, verbirgt sich als Systemupdate in der Betriebssystemumgebung des Ziels . Jede Variante der Malware ist auf das Betriebssystem zugeschnitten, auf das sie abzielt, von denen sich viele als schwierig oder gar nicht zu erkennen erwiesen haben. Laut VirusTotal, einem Antiviren- und Scan-Engine-Aggregator, sind die MacOS- und Linux-Versionen des Programms immer noch nicht erkennbar.

Das Verhalten der RAT ist bei allen betroffenen Betriebssystemen ähnlich. Nach der Ausführung erstellt und kopiert es sich selbst in ein bestimmtes Verzeichnis, das sich als Intels Graphics Common User Interface Service, igfxCUIService.exe, ausgibt. Nachdem mehrere andere Aktionen ausgeführt wurden, beginnt das Programm mit dem Sammeln von Maschineninformationen wie MAC-Adresse, Seriennummern und IP-Adressen.

Der Blog-Beitrag von Intezer enthält eine vollständige Erklärung des Verhaltens der Malware, der Decodierungs- und Codierungsschemata sowie der Befehls- und Kontrollanweisungen (C2).

Der Blog bietet Lesern Erkennungs- und Reaktionsschritte, die befolgt werden können, um festzustellen, ob Ihr Unternehmen kompromittiert wurde und welche nächsten Schritte zu unternehmen sind. Intezer Protect kann verwendet werden, um auf Linux-basierten Systemen nach bösartigem Code zu suchen. Das Unternehmen stellt eine kostenlose Community-Edition des Produkts zur Verfügung, um Scans durchzuführen. Windows-Systemen wird empfohlen, den Endpoint-Scanner von Intezer zu verwenden. Eigentümern von kompromittierten Systemen wird Folgendes empfohlen:

  • Beenden Sie die SysJoker-bezogenen Prozesse und löschen Sie den relevanten Persistenzmechanismus und alle SysJoker-bezogenen Dateien
  • Führen Sie auf dem infizierten Computer einen Speicherscan durch
  • Untersuchen Sie den ersten Eintrittspunkt der Malware
  • Wenn ein Server mit SysJoker infiziert wurde, prüfen Sie im Zuge dieser Untersuchung:
  • Überprüfen Sie den Konfigurationsstatus und die Kennwortkomplexität für öffentlich zugängliche Dienste auf infizierten Servern
  • Überprüfen Sie Softwareversionen und bekannte Exploits, die sich auf infizierte Server auswirken

Die Analyse der angegriffenen Organisationen und des von der RAT entworfenen Verhaltens lässt die Forscher glauben, dass SysJoker das Werk eines fortgeschrittenen Bedrohungsakteurs ist, der bestimmte Organisationen zum Zwecke von Spionage und potenziellen Ransomware-Angriffen ins Visier nimmt.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.