Rust Destekli SysJoker Arka Kapısını Kullanarak İsrail'e Karşı Hamas Bağlantılı Siber Saldırılar - Dünyadan Güncel Teknoloji Haberleri

Rust Destekli SysJoker Arka Kapısını Kullanarak İsrail'e Karşı Hamas Bağlantılı Siber Saldırılar - Dünyadan Güncel Teknoloji Haberleri

Check Point, “Her iki kampanya da API temalı URL’ler kullandı ve komut dosyası komutlarını benzer şekilde uyguladı” dedi ve “operasyonlar arasındaki büyük zaman aralığına rağmen her iki saldırıdan da aynı aktörün sorumlu olduğu” olasılığını artırdı SistemJokerHamas bağlantılı bir tehdit grubunun bölgede devam eden savaş sırasında İsrail’i hedef almak için kullanıldığı değerlendiriliyor


24 Kasım 2023Haber odasıSiber Saldırı / Kötü Amaçlı Yazılım

Siber güvenlik araştırmacıları, platformlar arası bir arka kapının Rust versiyonuna ışık tuttu ”

Sunucuyla bağlantı kurulduktan sonra yapı, güvenliği ihlal edilen ana bilgisayarda yürütülecek diğer ek yükleri bekler “SysJoker, komutları uzaktan yürütmenin yanı sıra kurban makinelere yeni kötü amaçlı yazılımlar indirip çalıştırma yeteneğine de sahip ”

SysJoker’in Rust versiyonunun keşfi, platformlar arası tehdidin evrimine işaret ediyor; implant, muhtemelen sanal alanlardan kaçma çabasıyla, yürütmenin çeşitli aşamalarında rastgele uyku aralıkları kullanıyor ” söz konusu geçen sene Elektrik Tozu OperasyonuNisan 2016 ile Şubat 2017 arasında İsrail örgütlerine yönelik hedefli bir kampanyayı ifade ediyor “Ayrıca tehdit aktörü, dinamik C2 (komuta ve kontrol sunucusu) URL’lerini depolamak için Google Drive yerine OneDrive’ı kullanmaya başladı

SysJoker henüz resmi olarak herhangi bir tehdit aktörü veya grubuyla ilişkilendirilmedi ”

SysJoker, Ocak 2022’de Intezer tarafından kamuya açık olarak belgelendi ve bunun, Google Drive’da barındırılan ve sabit kodlanmış bir URL içeren bir metin dosyasına erişerek sistem bilgilerini toplayabilen ve saldırgan tarafından kontrol edilen bir sunucuyla iletişim kurabilen bir arka kapı olarak tanımlandı

Siber güvenlik şirketi ayrıca Windows için tasarlanmış, daha önce hiç görülmemiş, çok daha karmaşık iki SysJoker örneği keşfettiğini ve bunlardan birinin kötü amaçlı yazılımı başlatmak için çok aşamalı bir yürütme süreci kullandığını söyledi

Check Point, “OneDrive’ı kullanmak, saldırganların C2 adresini kolayca değiştirmesine olanak tanıyor, bu da onların itibara dayalı farklı hizmetlerin önünde kalmalarına olanak tanıyor” dedi Ancak yeni toplanan kanıtlar, arka kapı ile bağlantılı olarak kullanılan kötü amaçlı yazılım örnekleri arasında örtüşmeler olduğunu gösteriyor

Bu aktivite bağlantılı McAfee tarafından bir Hamas bağlantılı tehdit aktörü Moleratlar (aka Extreme Jackal, Gazze Cyber ​​Gang ve TA402) olarak bilinir ” Check Point söz konusu Çarşamba analizinde

Dikkate değer bir değişiklik, şifrelenmiş ve kodlanmış C2 sunucu adresini almak için OneDrive’ın kullanılmasıdır; bu adres daha sonra kullanılacak IP adresini ve bağlantı noktasını çıkarmak için ayrıştırılır



siber-2

VMware, “Platformlar arası olmak, kötü amaçlı yazılım yazarlarının tüm büyük platformlarda yaygın enfeksiyon avantajından yararlanmasına olanak tanıyor “Bu davranış SysJoker’in farklı versiyonlarında tutarlı kalıyor

Check Point, “En göze çarpan değişiklikler arasında Rust diline geçiş yer alıyor; bu, kötü amaçlı yazılım kodunun tamamen yeniden yazıldığını ancak aynı işlevlerin korunduğunu gösteriyor