DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Phát hiện backdoor đa nền tảng SysJoker trong các cuộc tấn công có chủ đích
Theo báo cáo của Intezer, nhóm hacker APT (tấn công chủ đích) đã sử dụng một backdoor mới trong các cuộc tấn công nhắm mục tiêu vào các hệ thống Windows, macOS và Linux.
Được biết đến với tên gọi SysJoker, backdoor được phát hiện trong các cuộc tấn công nhắm vào máy chủ web của một tổ chức giáo giục vào tháng trước. Ngoài biến thể dựa trên Linux được sử dụng trong cuộc tấn công này, các nhà nghiên cứu bảo mật của Intezer cũng đã xác định các phiên bản Mach-O và Windows PE của phần mềm độc hại.
Các nhà nghiên cứu cho biết SysJoker được tìm thấy trên công cụ quét VirusTotal với hậu tố .ts, ngoài ra, phần mềm độc hại này cũng sử dụng các tệp JavaScript độc hại được phân phối thông qua các gói npm để lây nhiễm thiết bị.
Để tránh bị phát hiện, tin tặc tạo ra một bản cập nhật hệ thống giả mạo và liên tục thay đổi máy chủ ra lệnh và kiểm soát (C&C). C&C được tạo bằng cách giải mã một chuỗi được tìm nạp từ tệp văn bản mà hacker kiểm soát được lưu trên Google Drive.
Nhóm tin tặc phát triển SysJoker có mục đích giống nhau trên cả ba nền tảng đó là thu thập thông tin về máy bị nhiễm, đạt được sự bền bỉ và giao tiếp với máy chủ C&C.
Dựa trên các lệnh được từ máy chủ C&C, SysJoker có thể chạy các tệp thực thi bổ sung, cũng như chạy các lệnh và tải phản hồi lên C&C. Backdoor này dường như bao gồm chức năng tự động xóa khi cần thiết.
Intezer tin rằng SysJoker được vận hành bởi một hacker có trình độ cao, vì mã của backdoor này chưa được phát hiện trong các cuộc tấn công trước đó, mã được viết từ đầu cho cả ba nền tảng và tin tặc đã đăng ký nhiều tên miền cho nó.
Intezer kết luận: “Dựa trên khả năng của phần mềm độc hại, chúng tôi đánh giá rằng mục tiêu của cuộc tấn công là hoạt động gián điệp cùng với việc mở rộng địa bàn khai thác (Lateral Movement), điều này cũng có thể dẫn đến một cuộc tấn công Ransomware.”
Được biết đến với tên gọi SysJoker, backdoor được phát hiện trong các cuộc tấn công nhắm vào máy chủ web của một tổ chức giáo giục vào tháng trước. Ngoài biến thể dựa trên Linux được sử dụng trong cuộc tấn công này, các nhà nghiên cứu bảo mật của Intezer cũng đã xác định các phiên bản Mach-O và Windows PE của phần mềm độc hại.
Các nhà nghiên cứu cho biết SysJoker được tìm thấy trên công cụ quét VirusTotal với hậu tố .ts, ngoài ra, phần mềm độc hại này cũng sử dụng các tệp JavaScript độc hại được phân phối thông qua các gói npm để lây nhiễm thiết bị.
Để tránh bị phát hiện, tin tặc tạo ra một bản cập nhật hệ thống giả mạo và liên tục thay đổi máy chủ ra lệnh và kiểm soát (C&C). C&C được tạo bằng cách giải mã một chuỗi được tìm nạp từ tệp văn bản mà hacker kiểm soát được lưu trên Google Drive.
Nhóm tin tặc phát triển SysJoker có mục đích giống nhau trên cả ba nền tảng đó là thu thập thông tin về máy bị nhiễm, đạt được sự bền bỉ và giao tiếp với máy chủ C&C.
Dựa trên các lệnh được từ máy chủ C&C, SysJoker có thể chạy các tệp thực thi bổ sung, cũng như chạy các lệnh và tải phản hồi lên C&C. Backdoor này dường như bao gồm chức năng tự động xóa khi cần thiết.
Intezer tin rằng SysJoker được vận hành bởi một hacker có trình độ cao, vì mã của backdoor này chưa được phát hiện trong các cuộc tấn công trước đó, mã được viết từ đầu cho cả ba nền tảng và tin tặc đã đăng ký nhiều tên miền cho nó.
Intezer kết luận: “Dựa trên khả năng của phần mềm độc hại, chúng tôi đánh giá rằng mục tiêu của cuộc tấn công là hoạt động gián điệp cùng với việc mở rộng địa bàn khai thác (Lateral Movement), điều này cũng có thể dẫn đến một cuộc tấn công Ransomware.”
Theo: securityweek
Chỉnh sửa lần cuối bởi người điều hành: