De nieuwe versie van het Trojaanse programma SysJoker maakt gebruik van de programmeertaal Rust

SysJoker is oorspronkelijk geschreven in C++, maar de nieuwste versie gebruikt de programmeertaal Rust en is gebruikt door hackergroepen gerelateerd aan Hamas om Israël aan te vallen.

Beveiligingsbedrijf Check Point Research heeft onlangs een nieuwe versie ontdekt van het platformonafhankelijke Trojan-programma SysJoker. Het is oorspronkelijk geschreven in C++, maar de nieuwste versie gebruikt de programmeertaal Rust en is gebruikt door hackergroepen die banden hebben met Israël .

SysJoker verscheen voor het eerst in 2021. Destijds was het een platformonafhankelijk Trojaans programma dat kon worden gebruikt om Windows-, Linux- en macOS-platforms aan te vallen. Het vermomt zichzelf als een systeemupdatebestand en decodeert vervolgens bestanden die zijn opgeslagen in Google Drive om C&C te genereren. Volgens de analyse van Intezer, het beveiligingsbedrijf dat het destijds openbaar maakte, zal SysJoker voortdurend zijn C&C-server veranderen, wat betekent dat hackers. zijn zeer actief en houden de aanvallen in de gaten, in de veronderstelling dat het op zoek is naar een specifiek doelwit.

SysJoker gedraagt ​​zich vergelijkbaar op verschillende platforms. Intezer is van mening dat het doel van zijn aanval spionage is, maar het heeft de kenmerken van zijdelingse beweging en kan ook tot ransomware-aanvallen leiden.

De door Check Point Research ontdekte SysJoker was geschreven in Rust, wat betekent dat de hackers SysJoker volledig herschreven maar vergelijkbare functies behielden. Bovendien schakelden de hackers over op het gebruik van OneDrive in plaats van Google Drive om dynamische C&C-URL's op te slaan.

Aan de andere kant kan de C++-versie van SysJoker niet alleen externe programma's uit gearchiveerde bestanden downloaden en uitvoeren, maar ook opdrachten uitvoeren die door hackers zijn geïnstrueerd. Nadat de Rust-versie het gedownloade bestand heeft ontvangen en uitgevoerd, hangt dit echter af van het succes ervan mislukt de bewerking. Neem vervolgens contact op met de C&C-server en er is geen mogelijkheid om de opdracht rechtstreeks uit te voeren.

Het laatste onderzoek koppelt de Rust-versie van SysJoker aan de hackmissie Operation Electric Powder, een aanval op Israel Electric Company in 2016/2017. Ze gebruikten allebei API-thema-URL's en voerden scripts op een vergelijkbare manier uit.