SysJoker-troijalaisen ohjelman uusi versio käyttää Rust-ohjelmointikieltä

SysJoker on alun perin kirjoitettu C++:lla, mutta uusin versio käyttää Rust-ohjelmointikieltä, ja Hamasiin liittyvät hakkeriryhmät ovat käyttäneet sitä Israelin kohdistamiseen.

Tietoturvayritys Check Point Research löysi äskettäin uuden version monialustaisesta Troijan ohjelmasta. Se oli alun perin kirjoitettu C++:lla, mutta uusin versio käyttää Rust-ohjelmointikieltä ja sitä ovat käyttäneet Hamasiin liittyvät hakkeriryhmät .

SysJoker ilmestyi ensimmäisen kerran vuonna 2021. Tuolloin se oli monialustainen troijalainen ohjelma, jolla voitiin hyökätä Windows-, Linux- ja macOS-alustoille. Se naamioituu järjestelmäpäivitystiedostoksi ja purkaa sitten Google Driveen tallennetut tiedostot C&C:n tuottamiseksi. Sen tuolloin julkistaneen turvallisuusyrityksen Intezerin analyysin mukaan SysJoker muuttaa jatkuvasti C&C-palvelintaan, mikä tarkoittaa, että hakkerit. ovat erittäin aktiivisia ja tarkkailevat vaarallisia laitteita uskoen sen etsivän tiettyä kohdetta.

SysJokerin käyttäytyminen on samanlaista eri alustoilla Intezer uskoo, että sen hyökkäyksen tarkoitus on vakoilu, mutta sillä on sivuttaisliikkeen ominaisuuksia ja se voi myös johtaa lunnasohjelmahyökkäuksiin.

Check Point Researchin löytämä SysJoker on kirjoitettu rustilla, mikä tarkoittaa, että hakkerit kirjoittivat SysJokerin kokonaan uudelleen, mutta säilyttivät samanlaiset toiminnot. Lisäksi hakkerit siirtyivät käyttämään OneDrivea Google Driven sijaan dynaamisten C&C-URL-osoitteiden tallentamiseen.

Toisaalta SysJokerin C++-versio ei voi vain ladata ja suorittaa etäohjelmia arkistoiduista tiedostoista, vaan myös suorittaa hakkereiden antamia komentoja. Kuitenkin ladatun tiedoston vastaanottamisen ja suorittamisen jälkeen Rust-versio määrittää, onko toiminto onnistunut tai ei sitten ota yhteyttä C&C-palvelimeen, eikä komentoa voi suorittaa suoraan.

Uusin tutkimus yhdistää SysJokerin Rust-version Operation Electric Powder -hakkerointitehtävään, joka oli hyökkäys Israel Electric Companya vastaan ​​vuosina 2016/2017. Molemmat käyttivät API-teemaa URL-osoitteita ja suorittivat skriptejä samalla tavalla.