Neue Version des Trojaners SysJoker nutzt die Programmiersprache Rust

SysJoker wurde ursprünglich in C++ geschrieben, aber die neueste Version verwendet die Programmiersprache Rust und wurde von Hackergruppen im Zusammenhang mit der Hamas verwendet, um Israel ins Visier zu nehmen.

Die Sicherheitsbranche Check Point Research hat kürzlich eine neue Version des plattformübergreifenden Trojaners SysJoker entdeckt. Sie war ursprünglich in C++ geschrieben, die neueste Version verwendet jedoch die Programmiersprache Rust und wurde von Hackergruppen im Zusammenhang mit der Hamas für den Umgang mit Israel eingesetzt .

SysJoker erschien erstmals im Jahr 2021. Damals handelte es sich um ein plattformübergreifendes Trojaner-Programm, mit dem Windows-, Linux- und macOS-Plattformen angegriffen werden konnten. Es tarnt sich als Systemaktualisierungsdatei und dekodiert dann in Google Drive gespeicherte Dateien, um C&C zu generieren. Laut der Analyse von Intezer, dem Sicherheitsunternehmen, das es damals offengelegt hat, wird SysJoker seinen C&C-Server ständig ändern, was bedeutet, dass Hacker sind sehr aktiv und überwachen das gefährliche Gerät, weil sie glauben, dass es nach einem bestimmten Ziel sucht.

Das Verhalten von SysJoker ist auf verschiedenen Plattformen ähnlich. Intezer geht davon aus, dass der Zweck seines Angriffs Spionage ist, weist jedoch die Merkmale einer lateralen Bewegung auf und kann auch zu Ransomware-Angriffen führen.

Der von Check Point Research entdeckte SysJoker wurde in Rust geschrieben, was bedeutet, dass die Hacker SysJoker komplett neu geschrieben haben, aber ähnliche Funktionen beibehalten haben. Darüber hinaus sind die Hacker dazu übergegangen, OneDrive anstelle von Google Drive zu verwenden, um dynamische C&C-URLs zu speichern.

Andererseits kann die C++-Version von SysJoker nicht nur Remote-Programme aus archivierten Dateien herunterladen und ausführen, sondern auch von Hackern angewiesene Befehle ausführen. Nachdem die Rust-Version die heruntergeladene Datei jedoch empfangen und ausgeführt hat, hängt dies vom Erfolg ab Der Vorgang schlägt fehl. Kontaktieren Sie dann den C&C-Server und es besteht keine Möglichkeit, den Befehl direkt auszuführen.

Die neueste Forschung bringt die Rust-Version von SysJoker mit der Hacking-Mission Operation Electric Powder in Verbindung, bei der es sich um einen Angriff auf die Israel Electric Company im Jahr 2016/2017 handelte. Beide verwendeten URLs mit API-Thema und führten Skripte auf ähnliche Weise aus.