БезопасностьРазноеТехнологии и не только

Специально написанное вредоносное ПО, обнаруженное в системах Windows, macOS и Linux

16

Почему это важно: в декабре 2021 года группа безопасности Intezer обнаружила специально написанное вредоносное ПО на веб-сервере Linux ведущего образовательного учреждения. Позднее было обнаружено, что вредоносное ПО, получившее название SysJoker, также имеет варианты для Mac и Windows, что увеличивает его способность заражать нужные системы. Варианты macOS и Linux в настоящее время не обнаруживаются большинством антивирусных продуктов и сканеров.

Специально написанный троян удаленного доступа (RAT) на основе C++, который оставался незамеченным в течение нескольких месяцев, возможно, был выпущен примерно в середине-конце 2021 года. Команда безопасности Intezer назвала его SysJoker. Программа маскирует себя как системное обновление в среде целевой ОС.. Каждая разновидность вредоносного ПО адаптирована к целевой операционной системе, многие из которых трудно или невозможно обнаружить. По данным VirusTotal, агрегатора антивирусов и антивирусных ядер, версии программы для macOS и Linux по-прежнему не обнаруживаются.

Поведение RAT одинаково во всех затронутых операционных системах. После выполнения он создает и копирует себя в определенный каталог, маскирующийся под службу общего пользовательского интерфейса Intel Graphics, igfxCUIService.exe. После выполнения нескольких других действий программа начнет собирать информацию о машине, такую ​​как MAC-адрес, серийные номера и IP-адреса.

Сообщение в блоге Intezer содержит подробное объяснение поведения вредоносного ПО, схемы декодирования и кодирования, а также инструкции по управлению и контролю (C2).

Блог предоставляет читателям шаги по обнаружению и реагированию, которым можно следовать, чтобы определить, была ли ваша организация скомпрометирована, и какие дальнейшие действия предпринять. Intezer Protect можно использовать для сканирования вредоносного кода в системах на базе Linux. Компания предоставляет бесплатную версию продукта для сообщества для проведения сканирования. В системах Windows рекомендуется использовать сканер конечных точек Intezer. Владельцам скомпрометированных систем рекомендуется:

  • Завершите процессы, связанные с SysJoker, и удалите соответствующий механизм сохранения и все файлы, связанные с SysJoker.
  • Запустите сканирование памяти на зараженной машине
  • Исследуйте начальную точку входа вредоносного ПО
  • Если сервер был заражен SysJoker, в ходе расследования проверьте:
  • Проверьте состояние конфигурации и сложность пароля для общедоступных служб на зараженных серверах.
  • Проверьте версии программного обеспечения и известные эксплойты, влияющие на зараженные серверы.

Анализ целевых организаций и разработанного поведения RAT приводит исследователей к выводу, что SysJoker — это работа продвинутого злоумышленника, нацеленного на определенные организации с целью шпионажа и потенциальных атак программ-вымогателей.

Источник записи: www.techspot.com
Вам также может понравиться Больше от автора

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. Принимаю Подробнее