研究人员发现了一个从未见过的后门恶意软件,它是为运行Windows、macOS或Linux的系统从头编写的,几乎所有的恶意软件扫描引擎都没有检测到。
安全公司Intezer的研究人员说,他们在一家 “领先的教育机构 “基于Linux的网络服务器上发现了SysJoker–他们给这个后门恶意软件起的名字。随着研究人员的深入调查,他们发现Windows和macOS也有SysJoker版本。他们怀疑这个跨平台的RAT(远程访问木马的简称)是在去年下半年发现的。
这一发现有几个重要原因。首先,完全跨平台的恶意软件是非常罕见的,大多数恶意软件是为一个特定的操作系统编写的。RAT也是从头开始编写的,并使用了四个独立的命令和控制服务器,这表明开发和使用它的人是投入大量资源的高级威胁行为者的一部分。在现实世界的攻击中发现以前未见过的Linux恶意软件也是不寻常的。
对Windows版本(Intezer)和Macs版本(研究员Patrick Wardle)的分析发现,SysJoker提供了先进的后门功能。Windows和macOS版本的可执行文件的后缀都是.ts。Intezer说,这可能表明该文件在被潜入npm JavaScript仓库后伪装成类型脚本应用程序传播。Intezer接着说,SysJoker伪装成一个系统更新。
最终,Intezer无法确定该恶意软件是如何安装的。理论上,它是通过恶意的npm包安装的,或者是通过使用虚假的扩展名来伪装恶意安装程序,这表明感染不是利用漏洞的结果,而是诱使别人安装。
同时,Wardle说.ts扩展名可能表明该文件被伪装成视频传输流内容。他还发现,该macOS文件有数字签名,尽管是临时签名。
SysJoker是用C++编写的,截至周二,Linux和macOS版本在VirusTotal恶意软件搜索引擎上完全没有被检测到。该后门通过解码从Google Drive上托管的文本文件中获取的字符串来生成其控制服务器域。在研究人员分析期间,该服务器改变了三次,表明攻击者正在活动并监测受感染的机器。
根据目标组织和恶意软件的行为,Intezer的评估是,SysJoker的目标是特定的,最可能的目标是 “间谍活动和横向移动,这也可能导致勒索软件攻击作为下一个阶段之一。”
帖子于1/16/2022更新,以明确后门指的是恶意软件,并明确表示不知道它是如何被安装的。
