Danny Palmer Senior Reporter
Danny Palmer är senior reporter på ZDNet. Baserad i London skriver han om frågor som cybersäkerhet, hacking och skadlig programvara.
Fullständig bio den 12 januari 2022 | Ämne: Säkerhet 
Cybersäkerhetsforskare har upptäckt en ny form av skadlig programvara som kan skapa bakdörrar på Windows, Linux och macOS operativsystem, vilket ger hackare full tillgång till komprometterade system.
Skadlig programvara har beskrivits av forskare på Intezer, som har döpt den till SysJoker. Det upptäcktes när de undersökte en attack mot en Linux-baserad webbserver på en okänd läroanstalt i december. SysJoker var inte skadlig programvara bakom attacken som undersöktes – men den fanns redan på servrarna.
SysJokers natur och hur den är utformad för att ge en bakdörr till system – med möjlighet att köra kommandon, ladda ner och ladda upp filer – antyder att målet för de som levererar det kan vara spionage, men det kan också användas som ett verktyg för att leverera ytterligare skadlig programvara till komprometterade system.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)< /strong>
“Baserat på skadlig programvaras kapacitet bedömer vi att målet med attacken är spionage tillsammans med rörelse i sidled som också kan leda till en ransomware-attack som ett av nästa steg”, säger Avigayil Mechtinger, cybersäkerhetsforskare på Intezer, till ZDNet.
SysJoker äventyrar offerenheter genom att maskera sig som en systemuppdatering för Linux och MacOS, medan den i Windows-versionen maskerar sig som Intel-drivrutiner. Det är oklart hur de falska drivrutinsuppdateringarna levereras till offren, men uppdateringarnas karaktär innebär att användare sannolikt följer instruktionerna för att installera dem.
Forskare noterar att namnen på uppdateringsnamnen som “updateMacOs” och “updateSystem” är relativt generiska, vilket är något som potentiellt kan väcka misstankar.
Baserat på analys av SysJoker började den skadliga programvaran att aktivt distribueras i attacker under andra halvan av 2021 och angriparna bakom det ägnar stor uppmärksamhet åt kampanjer.
Även under analysperioden efter att skadlig programvara först upptäcktes i december, har kommando- och kontrolldomänen bakom attackerna ändrats tre gånger, vilket anklagar att de bakom kampanjen aktivt övervakar mål.
Sättet som angriparna uppmärksammar utsatta offer, det sätt på vilket de tycks noggrant välja sina mål och det sätt som skadlig programvara kan rikta in sig på flera operativsystem tyder på att de bakom SysJoker är vad forskare beskriver som en “avancerad hotaktör”.
Utöver detta tyder det faktum att angriparna har skrivit kod från grunden som inte har setts i tidigare attacker och kan riktas mot tre olika operativsystem också att vem som än är cyberbrottslingarna bakom SysJoker så vet de vad de gör.
Även om kampanjen inte är utbredd, upptäcktes naturen hos SysJoker malware – och hur angriparna verkar gå efter specifika mål och kan förbli dolda på komprometterade nätverk under en längre tid – först när en annan attack undersöktes.
Det är troligt att kampanjen fortfarande är aktiv, men forskare har detaljerade råd om hur man undviker att bli offer. Dessa inkluderar användning av minnesskannrar för att upptäcka skadliga nyttolaster som potentiellt har installerats. Administratörer bör också vara uppmärksamma på potentiellt misstänkt aktivitet och undersöka det om något känns fel.
MER OM CYBERSÄKERHET
Dessa forskare ville testa molnsäkerhet. De blev chockade över vad de hittadeCybersäkerhet: Denna produktiva hacker-för-hyra-operation har riktat sig mot tusentals offer runt om i världenFöretag pratar inte om att vara offer för cyberattacker. Det måste ändrasRansomware-angripare riktade sig mot detta företag. Sedan upptäckte försvarare något konstigtLog4j-fel: Det här nya hotet kommer att påverka cybersäkerhet under lång tid Säkerhets-TV | Datahantering | CXO | Datacenter