Зловмисне програмне забезпечення, яке було виявлено в системах Windows, macOS та Linux

Чому це важливо: у грудні 2021 року команда безпеки Intezer виявила спеціально написане шкідливе програмне забезпечення на веб-сервері Linux провідного навчального закладу. Пізніше було виявлено, що зловмисне програмне забезпечення, яке отримав назву SysJoker, також має варіанти для Mac і Windows, що збільшує його здатність заражати потрібні системи. Наразі більшість антивірусних продуктів і сканерів не виявляє варіанти macOS і Linux.

Спеціально написаний на C++ троян віддаленого доступу (RAT), який залишався повністю непоміченим протягом кількох місяців, можливо, був випущений приблизно в середині або наприкінці 2021 року. Програма, названа SysJoker командою безпеки Intezer, приховує себе як оновлення системи в середовищі ОС цільової системи.. Кожен варіант зловмисного програмного забезпечення пристосований до операційної системи, на яку вона спрямована, багато з яких виявити важко або неможливо. За даними VirusTotal, антивірусного агрегатора та агрегатора системи сканування, версії програми для macOS та Linux досі не можна виявити.

Поведінка RAT подібна для всіх уражених операційних систем. Після виконання він створює та копіює себе до певного каталогу, який маскується під Службу загального інтерфейсу користувача Intel, igfxCUIService.exe. Після виконання кількох інших дій програма почне збирати інформацію про машину, таку як MAC-адреса, серійні номери та IP-адреси.

Повідомлення в блозі Intezer містить детальне пояснення поведінки зловмисного програмного забезпечення, схеми декодування та кодування, а також інструкції командування та керування (C2).

Блог надає читачам кроки виявлення та реагування, які можна виконати, щоб визначити, чи була ваша організація скомпрометована, і які подальші кроки слід зробити. Intezer Protect можна використовувати для пошуку шкідливого коду в системах на базі Linux. Компанія надає безкоштовне видання продукту для спільноти для проведення сканування. Системам Windows рекомендується використовувати сканер кінцевих точок Intezer. Власникам зламаних систем рекомендується:

• Припиніть процеси, пов'язані з SysJoker, і видаліть відповідний механізм збереження та всі файли, пов’язані з SysJoker
• Запустіть сканування пам’яті на зараженій машині
• Дослідіть початкову точку входу зловмисного програмного забезпечення
• Якщо сервер був заражений SysJoker, під час цього розслідування перевірте:
• Перевірте стан конфігурації та складність пароля для загальнодоступних служб на заражених серверах
• Перевірте версії програмного забезпечення та відомі експлойти, які впливають на заражені сервери

Аналіз організацій, на які спрямовані ці дії, і розробленої поведінки RAT змушує дослідників вважати, що SysJoker є роботою передового загрози, спрямованої на певні організації з метою шпигунства та потенційних атак із програмним забезпеченням-вимагачем.