Danny Palmer Senior Reporter
Danny Palmer er seniorreporter i ZDNet. Basert i London, skriver han om problemer, inkludert nettsikkerhet, hacking og trusler mot skadelig programvare.
Full bio 12. januar 2022 | Emne: Sikkerhet 
Cybersikkerhetsforskere har avdekket en ny form for skadelig programvare som kan skape bakdører på Windows, Linux og macOS-operativsystemer, og gir hackere full tilgang til kompromitterte systemer.
Skadelig programvare har blitt detaljert av forskere ved Intezer, som har kalt den SysJoker. Det ble oppdaget mens de undersøkte et angrep mot en Linux-basert webserver ved en ikke avslørt utdanningsinstitusjon i desember. SysJoker var ikke skadelig programvare bak angrepet som ble undersøkt – men det var allerede til stede på serverne.
Karten til SysJoker og måten den er utformet for å gi en bakdør til systemer – med muligheten til å kjøre kommandoer, laste ned og laste opp filer – antyder at målet for de som leverer det kan være spionasje, men det kan også brukes som et verktøy for å levere ytterligere skadelig programvare til kompromitterte systemer.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)< /strong>
“Basert på skadevareens evner vurderer vi at målet med angrepet er spionasje sammen med sidebevegelser som også kan føre til et løsepengevareangrep som en av de neste stadiene,” sa Avigayil Mechtinger, cybersikkerhetsforsker ved Intezer, til ZDNet.
SysJoker kompromitterer offerenheter ved å maskere seg som en systemoppdatering for Linux og MacOS, mens den i Windows-versjonen maskerer seg som Intel-drivere. Det er uklart hvordan de falske driveroppdateringene leveres til ofrene, men arten av oppdateringene betyr at brukere sannsynligvis følger instruksjonene for å installere dem.
Forskere legger merke til at navnene på oppdateringsnavnene som “updateMacOs” og “updateSystem” er relativt generiske, noe som potensielt kan vekke mistanke.
Basert på analyse av SysJoker begynte skadevaren å bli aktivt distribuert i angrep i andre halvdel av 2021, og angriperne bak følger nøye med på kampanjer.
Selv i løpet av analyseperioden etter at skadevaren først ble oppdaget i desember, har kommando- og kontrolldomenet bak angrepene endret seg tre ganger, noe som anklager at de bak kampanjen aktivt overvåker mål.
Måten angriperne viser oppmerksomhet til kompromitterte ofre, måten de ser ut til å nøye velge sine mål og måten skadevare kan målrette mot flere operativsystemer antyder at de bak SysJoker er det forskere beskriver som en “avansert trusselaktør”.
I tillegg til dette antyder også det faktum at angriperne har skrevet kode fra bunnen av som ikke har blitt sett i tidligere angrep og kan sikte mot tre forskjellige operativsystemer at hvem enn de cyberkriminelle bak SysJoker er, så vet de hva de gjør.
Selv om kampanjen ikke er utbredt, ble naturen til SysJoker malware – og måten angriperne ser ut til å gå etter spesifikke mål og kan forbli skjult på kompromitterte nettverk i lengre perioder – først oppdaget da et annet angrep ble undersøkt.
Det er sannsynlig at kampanjen fortsatt er aktiv, men forskere har detaljerte råd om hvordan du kan unngå å bli offer. Disse inkluderer bruk av minneskannere for å oppdage skadelige nyttelaster som potensielt har blitt installert. Administratorer bør også være på utkikk etter potensielt mistenkelig aktivitet og undersøke det hvis noe føles galt.
MER OM CYBERSIKKERHET
Disse forskerne ønsket å teste skysikkerhet. De ble sjokkert over det de fantSybersikkerhet: Denne produktive hacker-til-leie-operasjonen har rettet seg mot tusenvis av ofre over hele verdenBedrifter snakker ikke om å være ofre for nettangrep. Det må endresRansomware-angripere målrettet dette selskapet. Så oppdaget forsvarere noe merkeligLog4j-feil: Denne nye trusselen kommer til å påvirke cybersikkerhet i lang tid Security TV | Databehandling | CXO | Datasentre