'SysJoker' olarak bilinen çok platformlu kötü amaçlı yazılımın, Rust programlama dilinde yeniden yazılmış yeni bir sürümü tespit edildi. SysJoker, ilk olarak 2022'nin başlarında Intezer tarafından belgelenen ve o dönemde C++ sürümlerini keşfedip analiz eden gizli bir Windows, Linux ve macOS kötü amaçlı yazılımıdır. Arka kapı, bellek içi yük yükleme, çok sayıda kalıcılık mekanizması, "living off the land" komutları ve VirusTotal'daki tüm işletim sistemi varyantları için 0 zararlı uyarısına sahipti. Check Point tarafından yeni Rust tabanlı varyantların incelenmesi, daha önce atfedilmemiş arka kapı ile 2016-2017 yıllarına dayanan 'Elektrik Tozu Operasyonu' arasında bir bağlantı kurmuştur.
Bu operasyon, İsrail'i hedef alan ve 'Gaza Cybergang' olarak bilinen Hamas bağlantılı bir tehdit aktörü tarafından düzenlendiğine inanılan bir dizi siber saldırıyı içeriyordu.
Yeni SysJoker
SysJoker'in Rust tabanlı varyantı VirusTotal'a ilk olarak 12 Ekim 2023'te, İsrail ve Hamas arasındaki savaşın tırmanışına denk gelecek şekilde gönderildi. Kötü amaçlı yazılım, tespit ve analizden kaçmak için rastgele uyku aralıkları ve kod dizeleri için karmaşık özel şifreleme kullanır.
İlk çalıştırmada, PowerShell kullanarak kalıcılık için kayıt defteri değişikliği gerçekleştirir ve çıkar. Daha sonraki çalıştırmalarda, adresini bir OneDrive URL'sinden aldığı C2 (komuta ve kontrol) sunucusuyla iletişim kurar.
SysJoker'ın birincil rolü, JSON kodlu komutların alınması yoluyla yönlendirilen, ele geçirilen sisteme ek yükler getirmek ve yüklemektir.
Kötü amaçlı yazılım hala işletim sistemi sürümü, kullanıcı adı, MAC adresi vb. gibi sistem bilgilerini toplayıp C2'ye gönderirken, önceki sürümlerde görülen komut yürütme yeteneklerinden yoksundur. Bu, gelecekteki bir sürümde geri dönebilir veya arka kapının geliştiricileri tarafından daha hafif ve daha gizli hale getirmek için çıkarılmış olabilir.
Check Point, belirli özelliklerine göre 'DMADevice' ve 'AppMessagingRegistrar' olarak adlandırdıkları iki SysJoker örneği daha keşfetti, ancak hepsinin benzer çalışma modellerini takip ettiğini belirtiyor.
Hamas ile olası bağlar
Check Point'in SysJoker'i Hamas bağlantılı tehdit grubu 'Gaza Cybergang' ile potansiyel olarak ilişkilendirmesini sağlayan özel unsur, kalıcılık oluşturmak için kullanılan PowerShell komutunda 'StdRegProv' WMI sınıfını kullanmasıdır.
Bu yöntem, 'Elektrik Tozu Operasyonu' kampanyasının bir parçası olarak İsrail Elektrik Şirketi'ne yönelik geçmiş saldırılarda görülmüştü.
Faaliyetler arasındaki diğer benzerlikler arasında belirli komut dosyası komutlarının uygulanması, veri toplama yöntemleri ve API temalı URL'lerin kullanılması yer almaktadır.
Kaynak:
https://www.bleepingcomputer.com/news/s ... s-hackers/
