Новая версия троянца SysJoker использует язык программирования Rust

Первоначально SysJoker был написан на C++, но последняя версия использует язык программирования Rust и использовалась хакерскими группами, связанными с ХАМАС, для нападения на Израиль.

Индустрия безопасности Check Point Research недавно обнаружила новую версию кроссплатформенной троянской программы SysJoker. Первоначально она была написана на C++, но последняя версия использует язык программирования Rust и использовалась хакерскими группировками, связанными с ХАМАС, для борьбы с Израилем. .

Впервые SysJoker появился в 2021 году. На тот момент это была кроссплатформенная троянская программа, которую можно было использовать для атаки на платформы Windows, Linux и macOS. Он маскируется под файл обновления системы, а затем декодирует файлы, хранящиеся на Google Диске, для создания C&C. Согласно анализу Intezer, охранной компании, которая в то время раскрыла это, SysJoker будет постоянно менять свой C&C-сервер, а это означает, что хакеры. очень активны и отслеживают атаки опасного устройства, полагая, что оно ищет конкретную цель.

Поведение SysJoker на разных платформах схоже, Intezer считает, что целью его атаки является шпионаж, однако она имеет характеристики бокового перемещения и может также привести к атакам программ-вымогателей.

SysJoker, обнаруженный Check Point Research, был написан на Rust, а это означает, что хакеры полностью переписали SysJoker, но сохранили аналогичные функции. Кроме того, хакеры перешли на использование OneDrive вместо Google Drive для хранения динамических URL-адресов C&C.

С другой стороны, C++-версия SysJoker может не только загружать и выполнять удаленные программы из архивных файлов, но и выполнять команды, заданные хакерами. Однако после того, как Rust-версия получит и выполнит загруженный файл, это будет зависеть от успеха или сбой операции.Тогда обратитесь к C&C серверу и нет возможности напрямую выполнить команду.

Последние исследования связывают версию SysJoker на Rust с хакерской миссией Operation Electric Powder, которая представляла собой атаку на компанию Israel Electric в 2016/2017 году. Они оба использовали URL-адреса на тему API и выполняли скрипты Order аналогичным образом.