新的恶意软件SysJoker对Windows、Linux和macOS操作系统平台后门构成威胁,用于间谍活动。Intezer研究人员声称,他们于去年12月首次发现SysJoker,当时SysJoker正在对教育机构基于Linux的Web服务器发起攻击。SysJoker是用C++编写的,通过远程服务器投放程序文件提供,该文件在执行时旨在收集有关受感染主机的信息,例如MAC地址、用户名、物理媒体序列号和IP地址。SysJoker会根据不同的操作系统进行裁剪,伪装成系统更新,通过解码从托管在GoogleDrive“基础设施”上的文本文件中检索到的字符串,生成其C2(服务器、服务器等攻击者发送控制命令的地方)。在SysJoker对其进行分析期间,C2更新了3次而没有发送进一步的命令,这表明攻击者处于活动状态并正在监视受感染的设备。根据受害者学和恶意软件的行为,研究人员认为SysJoker正在针对特定目标。Netenrich首席威胁猎手JohnBambenek表示,大多数现代组织都运行各种平台,因此攻击者希望将他们的工具移植到多个平台也就不足为奇了。一些实力雄厚、资源丰富的攻击者,会采用各种手段对目标环境中的任何事物进行攻击,并不断调整优化相关技术以达到目的。此外,他还认为,攻击者将谷歌等在线服务作为攻击链或C2的一部分,反映出在攻击过程中充分利用了各种云提供商,这个问题需要提供商来解决。参考来源:https://thehackernews.com/2022/01/new-sysjoker-espionage-malware.htmlhttps://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
