DiverseSikkerhetTeknologi og mer

Spesialskrevet skadelig programvare oppdaget på tvers av Windows-, macOS- og Linux-systemer

7

Hvorfor det er viktig: I desember 2021 identifiserte sikkerhetsteamet hos Intezer spesialskrevet skadelig programvare på en ledende utdanningsinstitusjons Linux-nettserver. Skadevaren, siden navnet SysJoker, ble senere oppdaget å også ha Mac- og Windows-baserte varianter, noe som øker dens evne til å infisere ønskede systemer. MacOS- og Linux-variasjonene er for øyeblikket uoppdagelige av de fleste antivirusprodukter og skannere.

Den spesialskrevne, C++-baserte fjerntilgangstrojaneren (RAT) som ble fullstendig uoppdaget i flere måneder kan ha blitt utgitt rundt midten til slutten av 2021. Programmet, kalt SysJoker av Intezers sikkerhetsteam, skjuler seg som en systemoppdatering i målets OS-miljø. Hver variant av skadelig programvare er skreddersydd til operativsystemet den retter seg mot, og mange av dem har vist seg å være vanskelige eller umulige å oppdage. I følge VirusTotal, en antivirus- og skannemotoraggregator, er macOS- og Linux-versjonene av programmet fortsatt uoppdagelige.

RATs oppførsel er lik på tvers av alle de berørte operativsystemene. Når den er utført, oppretter og kopierer den seg selv til en spesifikk katalog som maskerer seg som Intels Graphics Common User Interface Service, igfxCUIService.exe. Etter at flere andre handlinger er utført, vil programmet begynne å samle inn maskininformasjon som MAC-adresse, serienumre og IP-adresser.

Intezers blogginnlegg gir en fullstendig detaljert forklaring av skadevarens oppførsel, dekodings- og kodingsskjemaer og kommando- og kontrollinstruksjoner (C2).

Bloggen gir leserne deteksjons- og responstrinn som kan følges for å finne ut om organisasjonen din ble kompromittert og hvilke neste skritt du bør ta. Intezer Protect kan brukes til å skanne etter skadelig kode på Linux-baserte systemer. Selskapet tilbyr en ree fellesutgave av produktet for å utføre skanninger. Windows-systemer anbefales å bruke Intezers endepunktskanner. Eiere av kompromitterte systemer anbefales å:

  • Drep prosessene relatert til SysJoker og slett den relevante utholdenhetsmekanismen og alle filer relatert til SysJoker
  • Kjør en minneskanning på den infiserte maskinen
  • Undersøk det første inngangspunktet for skadelig programvare
  • Hvis en server ble infisert med SysJoker, sjekk i løpet av denne undersøkelsen:
  • Sjekk konfigurasjonsstatusen og passordkompleksiteten for offentlig vendte tjenester på infiserte servere
  • Sjekk programvareversjoner og kjente utnyttelser som påvirker infiserte servere

Analyse av organisasjonene som er målrettet, og RATs utformede oppførsel, får forskere til å tro at SysJoker er arbeidet til en avansert trusselaktør som retter seg mot spesifikke organisasjoner med det formål spionasje og potensielt løsepengevareangrep.

Opptakskilde: www.techspot.com
Kan hende du også liker Mer fra forfatteren

Dette nettstedet bruker informasjonskapsler for å forbedre din opplevelse. Vi antar at du er ok med dette, men du kan velge bort det hvis du ønsker det. jeg aksepterer Mer informasjon