Räätälöityjä haittaohjelmia löydetty Windows-, macOS- ja Linux-järjestelmistä
Miksi sillä on merkitystä: Intezerin tietoturvatiimi tunnisti joulukuussa 2021 räätälöityjä haittaohjelmia johtavan oppilaitoksen Linux-verkkopalvelimelta. SysJoker-nimistä haittaohjelmalla havaittiin myöhemmin olevan myös Mac- ja Windows-pohjaisia muunnelmia, mikä lisäsi sen kykyä tartuttaa haluttuja järjestelmiä. Useimmat virustorjuntatuotteet ja skannerit eivät tällä hetkellä pysty havaitsemaan macOS- ja Linux-muunnelmia.
Räätälöity C++-pohjainen etäkäyttötroijalainen (RAT), jota ei havaittu useiden kuukausien ajan, on saatettu julkaista vuoden 2021 puolivälin ja lopun tienoilla. Intezerin tietoturvatiimi nimesi SysJoker-ohjelman, ja se piiloutuu järjestelmäpäivitykseksi kohteen käyttöjärjestelmäympäristöön.. Jokainen haittaohjelman muunnelma on räätälöity sen kohteena olevan käyttöjärjestelmän mukaan, ja monet niistä ovat osoittautuneet vaikeaksi tai mahdottomaksi havaita. VirusTotalin, virustorjunta- ja skannauskonekokoojan, mukaan ohjelman macOS- ja Linux-versiot ovat edelleen havaittavissa.
RAT:n käyttäytyminen on samanlainen kaikissa vaikutuksen alaisissa käyttöjärjestelmissä. Kun se on suoritettu, se luo ja kopioi itsensä tiettyyn hakemistoon, joka naamioituu Intelin Graphics Common User Interface Service -palveluksi, igfxCUIService.exe. Kun useita muita toimintoja on suoritettu, ohjelma alkaa kerätä koneen tietoja, kuten MAC-osoite, sarjanumerot ja IP-osoitteet.
Intezerin blogikirjoitus sisältää täysin yksityiskohtaisen selityksen haittaohjelman käyttäytymisestä, dekoodaus- ja koodausmenetelmistä sekä komento- ja ohjausohjeista (C2).
Blogi tarjoaa lukijoille havaitsemis- ja vastausvaiheet, joiden avulla voidaan määrittää, onko organisaatiosi vaarantunut ja mitä seuraavaksi tehdä. Intezer Protectia voidaan käyttää haitallisen koodin etsimiseen Linux-pohjaisissa järjestelmissä. Yritys tarjoaa tuotteen af ree Community Edition skannausten suorittamista varten. Windows-järjestelmiä kehotetaan käyttämään Intezerin päätepisteskanneria. Vaarallisten järjestelmien omistajia kehotetaan:
- Tapa SysJokeriin liittyvät prosessit ja poista asianmukainen pysyvyysmekanismi ja kaikki SysJokeriin liittyvät tiedostot
- Suorita muistin tarkistus tartunnan saaneelle koneelle
- Tutki haittaohjelman aloituskohtaa
- Jos palvelin on saanut SysJoker-tartunnan, tarkista tämän tutkimuksen aikana:
- Tarkista tartunnan saaneiden palvelimien julkisten palveluiden määrityksen tila ja salasanan monimutkaisuus
- Tarkista ohjelmistoversiot ja tunnetut hyväksikäytöt, jotka vaikuttavat tartunnan saaneisiin palvelimiin
Kohteen kohteena olevien organisaatioiden ja RAT:n suunnitteleman toiminnan analyysi saa tutkijat uskomaan, että SysJoker on edistyneen uhkatoimijan työ, joka kohdistuu tiettyihin organisaatioihin vakoilua ja mahdollisia kiristysohjelmahyökkäyksiä varten.