據(jù)The Hacker News網(wǎng)站報(bào)道，一個(gè)名為“ SysJoker ”的新型惡意軟件正對(duì)Windows、Linux 和 macOS 操作系統(tǒng)構(gòu)成威脅，可利用跨平臺(tái)后門來(lái)從事間諜活動(dòng)。

Intezer 研究人員宣稱，他們于去年12月首次發(fā)現(xiàn)SysJoker，當(dāng)時(shí)SysJoker 正對(duì)一家教育機(jī)構(gòu)基于 Linux 的 Web 服務(wù)器發(fā)動(dòng)攻擊。

SysJoker 采用C++ 編寫，通過(guò)遠(yuǎn)程服務(wù)器的 dropper 文件傳遞​​，該文件在執(zhí)行時(shí)旨在收集有關(guān)受感染主機(jī)的信息，例如 MAC 地址、用戶名、物理媒體序列號(hào)和 IP 地址等。

SysJoker會(huì)根據(jù)不同的操作系統(tǒng)量身定制，偽裝成系統(tǒng)更新，通過(guò)解碼從托管在 Google Drive 上的文本文件中檢索到的字符串來(lái)生成其 C2(攻擊者發(fā)送控制命令的服務(wù)端、服務(wù)器等“基礎(chǔ)設(shè)施”)。SysJoker在研究人員對(duì)其進(jìn)行分析的過(guò)程中，C2更新了3次，但并未發(fā)送下一步的命令，表明攻擊者處于活躍狀態(tài)并正在監(jiān)視受感染的設(shè)備。據(jù)受害者學(xué)和惡意軟件的行為，研究人員認(rèn)為 SysJoker 針對(duì)的是特定目標(biāo)。

Netenrich 的首席威脅獵手 John Bambenek 表示，大多數(shù)現(xiàn)代組織都運(yùn)行各種平臺(tái)，因此攻擊者希望將他們的工具移植到多個(gè)平臺(tái)也就不足為奇了。而一些實(shí)力和資源強(qiáng)大的攻擊者會(huì)通過(guò)各種手段去攻擊目標(biāo)環(huán)境中的任何東西，并為了達(dá)到目的不斷調(diào)整、優(yōu)化相關(guān)技術(shù)。

此外，他還認(rèn)為，攻擊者通過(guò)谷歌等在線服務(wù)作為攻擊鏈或C2的一部分，反映出各個(gè)云供應(yīng)商在攻擊過(guò)程中被充分利用，這個(gè)問(wèn)題需要供應(yīng)商予以解決。

參考來(lái)源：

• https://thehackernews.com/2022/01/new-sysjoker-espionage-malware.html
• https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/