最新發(fā)現(xiàn)了一個名為 “SysJoker” 的多平臺惡意軟件新版本，該版本使用 Rust 編程語言進行了完全重寫。SysJoker 是一種可在 Windows、Linux和macOS系統(tǒng)中潛伏的惡意軟件。它最初由 Intezer 于2022年初發(fā)現(xiàn)，當時是C++ 版本。這個惡意軟件具有一些特點，包括能夠加載內(nèi)存中的有效負載、多種持久性機制和"離地生存"命令，而且能成功繞過VirusTotal掃描中各種殺毒軟件的檢測。

新SysJoker

基于Rust的SysJoker變體于2023年10月12日首次提交給 VirusTotal，此時恰逢以色列和巴勒斯坦之間的戰(zhàn)爭升級。

該惡意軟件通過對代碼字符串采用隨機睡眠間隔和復雜的自定義加密來逃避檢測和分析。首次啟動時，它會使用 PowerShell 執(zhí)行持久性注冊表修改并退出。在以后的執(zhí)行中，它會與 C2（命令和控制）服務(wù)器（它從 OneDrive URL 檢索的地址）建立通信。SysJoker 的主要作用是在受感染的系統(tǒng)上獲取和加載額外的有效負載，通過接收 JSON 編碼的命令進行定向。

盡管這個惡意軟件仍然會收集操作系統(tǒng)版本、用戶名、MAC地址等系統(tǒng)信息，并將其發(fā)送到C2服務(wù)器，但它缺乏之前版本中的命令執(zhí)行功能。這可能意味著這個功能在未來的版本中可能會回歸，或者已被后門的開發(fā)人員剝離，以使其更輕量化且更隱蔽。

可能與哈馬斯有關(guān)

Check Point 指出，Rust版本可能與2016-2017年的“火藥行動”有關(guān)。因為此次用于建立持久性的 PowerShell命令中使用了“StdRegProv”WMI 類。該方法在過去針對以色列電力公司的攻擊中也被使用過，這是“火藥行動”的一部分。（“火藥行動”涉及一系列針對以色列的網(wǎng)絡(luò)攻擊，由哈馬斯附屬的威脅組織“加沙網(wǎng)絡(luò)團伙”（Gaza Cybergang）一手策劃。）

原文來源：E安全