Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 12. januar 2022 | Emne: Sikkerhed 
Cybersikkerhedsforskere har afsløret en ny form for malware, der kan skabe bagdøre på Windows, Linux og macOS-operativsystemer, hvilket giver hackere fuld adgang til kompromitterede systemer.
Malwaren er blevet detaljeret beskrevet af forskere hos Intezer, som har kaldt den SysJoker. Det blev opdaget, mens de undersøgte et angreb mod en Linux-baseret webserver på en ikke-oplyst uddannelsesinstitution i december. SysJoker var ikke malwaren bag angrebet, der blev undersøgt – men det var allerede til stede på serverne.
Karten af SysJoker og den måde, den er designet til at give en bagdør til systemer – med mulighed for at køre kommandoer, downloade og uploade filer – antyder, at målet for dem, der leverer det, kunne være spionage, men det kan også bruges som et værktøj til at levere yderligere malware til kompromitterede systemer.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)< /strong>
“Baseret på malwarens muligheder vurderer vi, at målet med angrebet er spionage sammen med lateral bevægelse, der også kan føre til et ransomware-angreb som et af de næste stadier,” sagde Avigayil Mechtinger, cybersikkerhedsforsker hos Intezer, til ZDNet.
SysJoker kompromitterer offer-enheder ved at udgive sig som en systemopdatering til Linux og MacOS, mens den i Windows-versionen udgiver sig som Intel-drivere. Det er uklart, hvordan de falske driveropdateringer leveres til ofrene, men arten af opdateringerne betyder, at brugerne sandsynligvis følger instruktionerne for at installere dem.
Forskere bemærker, at navnene på opdateringsnavnene som “updateMacOs” og “updateSystem” er relativt generiske, hvilket er noget, der potentielt kan vække mistanke.
Baseret på analyse af SysJoker begyndte malwaren at blive aktivt implementeret i angreb i anden halvdel af 2021, og angriberne bag det er meget opmærksomme på kampagner.
Selv i analyseperioden, efter at malwaren oprindeligt blev opdaget i december, har kommando- og kontroldomænet bag angrebene ændret sig tre gange, hvilket anklager, at dem, der står bag kampagnen, aktivt overvåger mål.
Den måde, hvorpå angriberne er opmærksomme på kompromitterede ofre, den måde, hvorpå de ser ud til at vælge deres mål omhyggeligt, og den måde, hvorpå malwaren kan målrette mod flere operativsystemer, antyder, at dem, der står bag SysJoker, er, hvad forskere beskriver som en “avanceret trusselsaktør”.
Ud over dette tyder det faktum, at angriberne har skrevet kode fra bunden, som ikke er set i tidligere angreb og kan målrette mod tre forskellige operativsystemer, også på, at hvem end de cyberkriminelle bag SysJoker er, så ved de, hvad de laver.
Selvom kampagnen ikke er udbredt, blev karakteren af SysJoker-malware – og den måde, angriberne ser ud til at gå efter specifikke mål og kan forblive skjult på kompromitterede netværk i længere tid – først opdaget, da et andet angreb blev undersøgt.
Det er sandsynligt, at kampagnen stadig er aktiv, men forskere har detaljerede råd om, hvordan man undgår at blive offer. Disse omfatter brug af hukommelsesscannere til at opdage ondsindede nyttelaster, der potentielt er blevet installeret. Administratorer bør også være på udkig efter potentielt mistænkelig aktivitet og undersøge det, hvis noget føles galt.
MERE OM CYBERSIKKERHED
Disse forskere ønskede at teste cloud-sikkerhed. De var chokerede over, hvad de fandtCybersikkerhed: Denne produktive hacker-til-udlejning-operation har rettet sig mod tusindvis af ofre rundt om i verdenVirksomheder taler ikke om at være ofre for cyberangreb. Det skal ændresRansomware-angribere var rettet mod denne virksomhed. Så opdagede forsvarerne noget mærkeligtLog4j-fejl: Denne nye trussel kommer til at påvirke cybersikkerhed i lang tid Security TV | Datastyring | CXO | Datacentre