Cybersecurity-onderzoekers hebben licht geworpen op een Rust-versie van een platformonafhankelijke achterdeur genaamd SysJokerdat naar schatting is gebruikt door een aan Hamas gelieerde dreigingsacteur om Israël aan te vallen te midden van de aanhoudende oorlog in de regio.
“Een van de meest opvallende veranderingen is de verschuiving naar de Rust-taal, wat aangeeft dat de malwarecode volledig is herschreven, terwijl de vergelijkbare functionaliteiten nog steeds behouden blijven”, zei Check Point in een analyse van woensdag. “Bovendien is de bedreigingsacteur overgestapt op het gebruik van OneDrive in plaats van Google Drive om dynamische C2-URL’s (command-and-control-server) op te slaan.”
SysJoker werd in januari 2022 publiekelijk gedocumenteerd door Intezer en beschreef het als een achterdeur die systeeminformatie kan verzamelen en contact kan leggen met een door een aanvaller bestuurde server door toegang te krijgen tot een tekstbestand dat wordt gehost op Google Drive en dat een hardgecodeerde URL bevat.
“Door cross-platform te zijn, kunnen de malware-auteurs profiteren van een brede infectie op alle grote platforms”, zei VMware vorig jaar. “SysJoker heeft de mogelijkheid om op afstand opdrachten uit te voeren en nieuwe malware te downloaden en uit te voeren op de computers van slachtoffers.”
De ontdekking van een Rust-variant van SysJoker wijst op een evolutie van de platformoverschrijdende dreiging, waarbij het implantaat willekeurige slaapintervallen gebruikt in verschillende stadia van de uitvoering ervan, waarschijnlijk in een poging om sandboxes te ontwijken.
Een opmerkelijke verschuiving is het gebruik van OneDrive om het gecodeerde en gecodeerde C2-serveradres op te halen, dat vervolgens wordt geparseerd om het te gebruiken IP-adres en de poort te extraheren.
“Door OneDrive te gebruiken, kunnen aanvallers eenvoudig het C2-adres wijzigen, waardoor ze verschillende op reputatie gebaseerde services voor kunnen blijven”, aldus Check Point. “Dit gedrag blijft consistent in verschillende versies van SysJoker.”
Nadat er verbindingen met de server tot stand zijn gebracht, wacht het artefact op verdere extra payloads die vervolgens worden uitgevoerd op de gecompromitteerde host.
Het cyberbeveiligingsbedrijf zei dat het ook twee nog nooit eerder vertoonde SysJoker-voorbeelden heeft ontdekt die zijn ontworpen voor Windows en die aanzienlijk complexer zijn. Eén daarvan maakt gebruik van een meerfasig uitvoeringsproces om de malware te lanceren.
SysJoker is nog niet formeel toegeschreven aan een bedreigingsacteur of groep. Maar nieuw verzameld bewijsmateriaal toont overlappingen aan tussen de achterdeur en malwaremonsters die worden gebruikt in verband met Operatie Electric Powder, die verwijst naar een gerichte campagne tegen Israëlische organisaties tussen april 2016 en februari 2017.
Deze activiteit werd door McAfee in verband gebracht met een aan Hamas gelieerde dreigingsacteur die bekend staat als Molerats (ook bekend als Extreme Jackal, Gaza Cyber Gang en TA402).
“Beide campagnes gebruikten URL’s met een API-thema en implementeerden scriptopdrachten op een vergelijkbare manier”, merkte Check Point op, waarmee de mogelijkheid werd vergroot dat “dezelfde actor verantwoordelijk is voor beide aanvallen, ondanks het grote tijdsverschil tussen de operaties.”
