資安業者Check Point Research近日發現了新版本的跨平臺木馬程式SysJoker,它原本使用C++撰寫,但最新版本卻是採用Rust程式語言,且已被與哈馬斯(Hamas)有關的駭客集團用來對付以色列。
SysJoker最早現身於2021年,當時它就是一個跨平臺的木馬程式,可用來攻擊Windows、Linux與macOS平臺。它偽裝成系統更新檔,再解碼存放於Google Drive的檔案來產生C&C,根據當時揭露它的資安業者Intezer分析,SysJoker會不斷變更其C&C伺服器,意味著駭客非常積極且監控著遭到危害的裝置,相信它是在尋找特定的目標。
SysJoker在不同平臺上的行為都很類似,Intezer認為其攻擊目的是為了間諜活動,但具備橫向移動的特性,或許也可能導致勒索軟體攻擊。
Check Point Research所發現的SysJoker卻是以Rust撰寫,代表駭客完全重寫了SysJoker,卻保持類似的功能,此外,駭客轉而利用OneDrive而非Google Drive來儲存動態的C&C網址。
另一方面,C++版本的SysJoker不但可從封存檔案中下載與執行遠端程式,也能執行由駭客指示的命令,但Rust版本在接收與執行下載的檔案後,會根據行動的成功與否再聯繫C&C伺服器,並無直接執行指令的能力。
最新研究認為Rust版SysJoker與Operation Electric Powder駭客任務有關,這是在2016/2017年間攻擊以色列電力公司Israel Electric Company的行動,它們都使用了以API為主題的URL,並以類似的手法執行腳本命令。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19