Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια έκδοση Rust του SysJoker backdoor, η οποία πιστεύεται ότι χρησιμοποιήθηκε από μια hacking ομάδα που συνδέεται με τη Χαμάς, για να στοχεύσει το Ισραήλ.

Μεταξύ των πιο εμφανών αλλαγών είναι η μετατόπιση στη γλώσσα Rust, το οποίο υποδεικνύει ότι ο κώδικας του κακόβουλου λογισμικού ξαναγράφτηκε εξ ολοκλήρου, ενώ εξακολουθεί να διατηρεί παρόμοιες λειτουργίες“, ανέφερε η Check Point σε ανάλυσή της.

Μια άλλη αλλαγή είναι η χρήση του OneDrive αντί του Google Drive για την αποθήκευση dynamic C2 (command-and-control server) URLs.

Δείτε επίσης: Turla hackers: Νέα πιο επικίνδυνη έκδοση του Kazuar backdoor

Το SysJoker backdoor αναλύθηκε πρώτη φορά από την Intezer τον Ιανουάριο του 2022. Είχε παρουσιαστεί σαν ένα backdoor που μπορούσε να συλλέγει πληροφορίες συστήματος και να δημιουργεί επαφή με έναν διακομιστή που ελεγχόταν από τους εισβολείς, αποκτώντας πρόσβαση σε ένα αρχείο κειμένου που φιλοξενούνταν στο Google Drive και περιείχε ένα hard-coded URL.

Η δυνατότητα cross-platform επιτρέπει στους δημιουργούς του κακόβουλου λογισμικού να επωφεληθούν από την ευρεία μόλυνση όλων των μεγάλων πλατφορμών”, δήλωσε η VMware πέρυσι. “Το SysJoker έχει τη δυνατότητα να εκτελεί εντολές εξ αποστάσεως καθώς και να κατεβάζει και να εκτελεί νέο κακόβουλο λογισμικό σε μηχανήματα-θύματα“.

Η ανακάλυψη της νέας παραλλαγής Rust του SysJoker backdoor δείχνει την εξέλιξη του κακόβουλου λογισμικού, με το implant να χρησιμοποιεί random sleep intervals σε διάφορα στάδια της εκτέλεσής του, πιθανότατα για να αποφύγει τα sandboxes.

Όπως είπαμε και πιο πάνω, στη νέα έκδοση χρησιμοποιείται το OneDrive για την ανάκτηση του κρυπτογραφημένου και κωδικοποιημένου C2 server address, το οποίο στη συνέχεια αναλύεται για την εξαγωγή της διεύθυνσης IP και της θύρας που θα χρησιμοποιηθεί.

Η χρήση του OneDrive επιτρέπει στους εισβολείς να αλλάζουν εύκολα τη διεύθυνση C2“, είπε η Check Point. “Αυτή η συμπεριφορά παραμένει συνεπής σε διαφορετικές εκδόσεις του SysJoker“.

Δείτε επίσης: Το WailingCrab Malware Loader διανέμεται μέσω phishing emails

Μετά τη δημιουργία συνδέσεων με τον διακομιστή, αναμένονται πρόσθετα payloads που στη συνέχεια εκτελούνται στον παραβιασμένο υπολογιστή.

Η εταιρεία κυβερνοασφάλειας είπε ότι ανακάλυψε επίσης δύο δείγματα του SysJoker backdoor που δεν είχε ξαναδεί, σχεδιασμένα για Windows, τα οποία είναι πολύ πιο περίπλοκα.

Το SysJoker δεν έχει ακόμη αποδοθεί επίσημα σε κάποια hacking ομάδα. Ωστόσο, τα πρόσφατα στοιχεία δείχνουν ομοιότητες με malware που είχε χρησιμοποιηθεί κατά το Operation Electric Powder

, μια στοχευμένη εκστρατεία εναντίον ισραηλινών οργανώσεων που έλαβε χώρα μεταξύ Απριλίου 2016 και Φεβρουαρίου 2017.

Αυτή η δραστηριότητα αποδόθηκε σε μια hacking ομάδα που συνδέεται με τη Χαμάς, γνωστή ως Molerats (γνωστή και ως Extreme Jackal, Gaza Cyber ​​Gang και TA402).

Και οι δύο καμπάνιες χρησιμοποίησαν API-themed URLs και εφάρμοσαν script commands με παρόμοιο τρόπο“, σημείωσε η Check Point, πιστεύοντας ότι οι ίδιοι επιτιθέμενοι μπορεί να βρίσκονται πίσω από τις δύο επιθέσεις παρά το μεγάλο χρονικό κενό.

Δείτε επίσης: Konni malware: Διανέμεται μέσω phishing emails και στοχεύει Ρώσους χρήστες

Προστασία από κυβερνοεπιθέσεις που σχετίζονται με τη Χαμάς

Ένας από τους βασικούς τρόπους αντιμετώπισης των κυβερνοεπιθέσεων που συνδέονται με την Χαμάς είναι η ενίσχυση της κυβερνοασφάλειας. Αυτό περιλαμβάνει την εφαρμογή αυστηρών πολιτικών ασφαλείας, την εκπαίδευση των χρηστών για την αναγνώριση και αποτροπή κυβερνοεπιθέσεων, καθώς και τη χρήση τεχνολογιών ανίχνευσης και προστασίας από κακόβουλο λογισμικό.

Επιπλέον, οι οργανισμοί και οι εταιρείες πρέπει να εφαρμόζουν την αρχή της αμυντικής ασφάλειας, η οποία περιλαμβάνει την ανάλυση των προηγούμενων επιθέσεων για την αναγνώριση των μοτίβων και των αδυναμιών τους. Με βάση αυτήν την ανάλυση, αναπτύσσονται και εφαρμόζονται αποτελεσματικά μέτρα προστασίας, όπως η ενημέρωση των λογισμικών, η επιβολή περιορισμών πρόσβασης και η παρακολούθηση της κίνησης δεδομένων.

Σημαντική είναι και η συνεργασία με ειδικούς στον τομέα της κυβερνοασφάλειας για την ανάπτυξη και την εφαρμογή προηγμένων τεχνικών ασφαλείας. Αυτές οι τεχνικές περιλαμβάνουν τη χρήση τεχνητής νοημοσύνης και μηχανικής μάθησης για την ανίχνευση και τον αποκλεισμό κακόβουλων επιθέσεων, καθώς και την ανάπτυξη προηγμένων συστημάτων ανίχνευσης παραβίασης.

Τέλος, η διεθνής συνεργασία και η ανταλλαγή πληροφοριών ανάμεσα σε κυβερνήσεις, οργανισμούς και εταιρείες αποτελούν σημαντικά μέτρα για την αντιμετώπιση των κυβερνοεπιθέσεων. Η ανταλλαγή πληροφοριών και εμπειριών μπορεί να βοηθήσει στην αναγνώριση νέων απειλών και στην ανάπτυξη αποτελεσματικών τεχνικών ασφαλείας.

Πηγή: thehackernews.com