Το Backdoor για Windows, macOS και Linux δεν έχει εντοπιστεί ακόμα

Οι ερευνητές ανακάλυψαν μια άνευ προηγουμένου κερκόπορτα γραμμένη από την αρχή για συστήματα με Windows, macOS ή Linux που παρέμεινε απαρατήρητη από όλες σχεδόν τις μηχανές σάρωσης κακόβουλου λογισμικού.

Ερευνητές από την εταιρεία ασφαλείας Intezer Αυτός είπε Ανακάλυψαν το SysJoker – το όνομα που έδωσαν στην πίσω πόρτα – στον διακομιστή web ενός “κορυφαίου εκπαιδευτικού ιδρύματος” που βασίζεται σε Linux. Κατά την αναζήτηση των ερευνητών, βρήκαν εκδόσεις SysJoker τόσο για Windows όσο και για macOS. Υποψιάζονται ότι το κακόβουλο λογισμικό κυκλοφόρησε σε πλατφόρμες το δεύτερο εξάμηνο του περασμένου έτους.

Αυτό το εύρημα είναι σημαντικό για πολλούς λόγους. Πρώτον, το κακόβουλο λογισμικό πολλαπλών πλατφορμών είναι κάτι σπάνιο, καθώς τα περισσότερα κακόβουλα προγράμματα είναι γραμμένα για ένα συγκεκριμένο λειτουργικό σύστημα. Το Backdoor γράφτηκε επίσης από την αρχή και χρησιμοποιούσε τέσσερις ξεχωριστούς διακομιστές εντολών και ελέγχου, κάτι που δείχνει ότι τα άτομα που το ανέπτυξαν και το χρησιμοποίησαν ήταν μέρος ενός προηγμένου παράγοντα απειλής που επένδυσε σημαντικούς πόρους. Είναι επίσης ασυνήθιστο να βρίσκουμε κακόβουλο λογισμικό Linux που δεν έχει ξαναδεί σε πραγματική επίθεση.

Οι αναλύσεις της έκδοσης των Windows (από την Intezer) και της έκδοσης για Mac (από τον ερευνητή Patrick Wardle) διαπίστωσαν ότι το SysJoker προσφέρει προηγμένες δυνατότητες backdoor. Τα εκτελέσιμα αρχεία για τις εκδόσεις Windows και macOS έχουν το επίθημα .ts. Ο Entizer είπε ότι αυτό θα μπορούσε να είναι μια ένδειξη ότι το αρχείο μεταμφιέζεται σε αρχείο Γράψε το σενάριο Η εφαρμογή εξαπλώθηκε μετά από εισβολή στο αποθετήριο javascript npm. Ο Entizer συνέχισε λέγοντας ότι το SysJoker μεταμφιέζεται ως ενημέρωση συστήματος.

Εν τω μεταξύ, ο Wardle είπε ότι η επέκταση .ts μπορεί να υποδηλώνει ότι το αρχείο μεταμφιέζεται ως ροή μετάδοσης βίντεο Περιεχόμενο. Διαπίστωσε επίσης ότι το αρχείο macOS ήταν ψηφιακά υπογεγραμμένο, αν και με την επέκταση . ειδική υπογραφή.

Το SysJoker γράφτηκε σε C++ και από την Τρίτη, όλες οι εκδόσεις Linux και macOS δεν είχαν εντοπιστεί στη μηχανή αναζήτησης κακόβουλου λογισμικού του VirusTotal. Το Backdoor δημιουργεί τον δικό του τομέα διακομιστή ελέγχου αποκωδικοποιώντας μια συμβολοσειρά που ανακτήθηκε από ένα αρχείο κειμένου που φιλοξενείται στο Google Drive. Κατά τη διάρκεια του χρόνου που το ανέλυαν οι ερευνητές, ο διακομιστής άλλαξε τρεις φορές, υποδεικνύοντας ότι ο εισβολέας ήταν ενεργός και παρακολουθούσε μολυσμένα μηχανήματα.

Με βάση τους οργανισμούς-στόχους και τη συμπεριφορά κακόβουλου λογισμικού, η εκτίμηση της Intezer είναι ότι το SysJoker επιδιώκει συγκεκριμένους στόχους, πιθανότατα με στόχο την “κατασκοπεία με πλευρική κίνηση που θα μπορούσε επίσης να οδηγήσει σε επίθεση ransomware ως ένα από τα επόμενα στάδια”.

READ  Η Nintendo θα μπορούσε να χρησιμοποιήσει το Super Resolution FidelityFX της AMD για να ενισχύσει την απόδοση του Switch

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.