27/11/23
Исследовательская группа Check Point Research отслеживает активное развитие SysJoker, кроссплатформенного бэкдора, который, как предполагается, использовался связанной с ХАМАС хакерской группой для атак на Израиль.
Среди ключевых изменений в SysJoker – переход с C++ на язык программирования Rust, что указывает на полное переписывание кода вредоносного ПО, сохраняя при этом аналогичный функционал, пишет Securitylab. Также злоумышленники перешли на использование OneDrive вместо Google Drive для хранения динамических URL-адресов сервера управления и контроля (Command and Control, C2).
Один из вариантов SysJoker, написанный на Rust, был представлен в VirusTotal под названием php-cgi.exe. Вредоносное ПО использует случайные интервалы сна на разных этапах выполнения, что может служить мерой антианализа. SysJoker собирает информацию о заражённой системе –версию Windows, имя пользователя, MAC-адрес, IP-адрес и другие данные. Собранная информация отправляется на C2-сервер.
Анализ новых вариантов SysJoker показал связь с ранее не раскрытыми образцами операции Electric Powder, серии целенаправленных атак на израильские организации в период с 2016 по 2017 год, которые были косвенно связаны с хакерской группой Gaza Cybergang (Gaza Hackers Team, MoleRATs), предположительно действующей из Палестины.
В 2017 году компания Palo Alto обнаружила вредоносную кампанию группировки Gaza Cybergang, направленной против правительственных организаций. Злоумышленники использовали два образца вредоносного ПО – загрузчик Downeks и троян для удаленного доступа (RAT) QuasarRAT – которые предназначены для атак на пользователей, разговаривающих на иврите.
