以色列安全公司Check Point的研究人员揭示了一个名为SysJoker的跨平台后门的 Rust版本，据评估，该后门已被哈马斯相关的黑客组织用来针对以色列目标。

Check Point在分析报告中表示：“最显著的变化是转向 Rust 语言，这表明恶意软件代码被完全重写，同时仍然保持类似的功能。” “此外，攻击者转而使用 OneDrive 而不是 Google Drive 来存储动态 C2（命令和控制服务器）URL。”

Intezer 于 2022 年 1 月公开记录了SysJoker ，将其描述为一个后门，能够收集系统信息，并通过访问 Google Drive 上托管的包含硬编码 URL 的文本文件来与攻击者控制的服务器建立联系。

VMware去年表示：“跨平台使恶意软件作者能够在所有主要平台上获得广泛感染的优势。” “SysJoker 能够远程执行命令以及在受害者计算机上下载和执行新的恶意软件。”

SysJoker Rust 变体的发现表明跨平台威胁的演变，植入程序在其执行的各个阶段采用随机睡眠间隔，可能是为了逃避沙箱。

一个值得注意的转变是使用 OneDrive 检索加密和编码的 C2 服务器地址，随后解析该地址以提取要使用的 IP 地址和端口。

Check Point 表示：“使用 OneDrive 可以让攻击者轻松更改 C2 地址，从而使他们能够领先于不同的基于信誉的安全检测服务。” “这种行为在不同版本的 SysJoker 中保持一致。”

与服务器建立连接后，该工件会等待更多额外的有效负载，然后在受感染的主机上执行这些有效负载。

这家网络安全公司表示，它还发现了两个前所未见的为 Windows 设计的 SysJoker 样本，这些样本明显更加复杂，其中一个样本利用多阶段执行过程来启动恶意软件。

SysJoker 尚未被正式归咎于任何专业黑客组织。但新收集的证据显示，后门和与“Operation Electric Powder”行动相关的恶意软件样本之间存在重叠，“Operation Electric Powder”指的是 2016 年 4 月至 2017 年 2 月期间针对以色列组织的有针对性的网络攻击活动。

McAfee将这一活动与哈马斯附属威胁组织Molerats （又名Extreme Jackal、Gaza Cyber Gang 和 TA402）联系起来。

Check Point 指出，“这两个活动都使用了以 API 为主题的 URL，并以类似的方式实现了脚本命令”，这增加了“尽管两次攻击之间存在很大的时间间隔，但两次攻击都是由同一个攻击者负责的可能性”。

---

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ypWH5YY6saPZSHXRVkSYuw

封面来源于网络，如有侵权请联系删除