SysJoker: backdoor multi-piattaforma usata da Hamas

SysJoker: backdoor multi-piattaforma usata da Hamas

Una nuova versione della backdoor SysJoker è stata utilizzata dal gruppo Gaza Cybergang (affiliata ad Hamas) per colpire aziende israeliane.
SysJoker: backdoor multi-piattaforma usata da Hamas
Una nuova versione della backdoor SysJoker è stata utilizzata dal gruppo Gaza Cybergang (affiliata ad Hamas) per colpire aziende israeliane.

Gli esperti di Check Point Research hanno individuato una nuova versione di SysJoker, una backdoor multi-piattaforma usata dal gruppo Gaza Cybergang (affiliato ad Hamas) per colpire specifici target in Israele. Una precedente versione era stata utilizzata per attacchi contro aziende israeliane nel 2016-2017.

SysJoker: nuova versione scritta in Rust

La nuova variante di SysJocker è stata scoperta a metà ottobre. Il codice è stato completamente riscritto in Rust, un noto linguaggio di programmazione multi-piattaforma. La backdoor supporta infatti Windows, macOS e Linux. Quella analizzata da Check Point Research è per il sistema operativo di Microsoft.

La backdoor sfrutta diverse tecniche per evitare la rilevazione, tra cui intervalli di tempo “sleep” casuali e crittografia personalizzata per il codice. L’eseguibile del malware viene copiato nella directory ProgramData, mentre un comando PowerShell stabilisce la persistenza (avvio automatico), aggiungendo una chiave nel registro.

Successivamente viene recuperato da OneDrive l’indirizzo del server C2 (command and control), al quale il malware invia diverse informazioni sul sistema, tra cui versione di Windows, username e indirizzo MAC. Tramite comandi JSON vengono quindi scaricati altri payload. Rispetto alla versione precedente (scritta in linguaggio C++) mancano alcune funzionalità che potrebbero essere aggiunte in futuro.

Check Point Research ha scoperto altre due varianti con flusso di esecuzione multi-stage e più moduli (installer, downloader e backdoor). Analizzando il codice sono state trovate conferme sugli autori degli attacchi recenti. Si tratta del gruppo Gaza Cybergang che nel 2017 ha colpito la Israel Electric Company durante la campagna Operation Electric Powder. In quel caso è stato usato un malware Windows formato da dropper, backdoor e keylogger.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 27 nov 2023
Link copiato negli appunti