SysJoker, la backdoor si rinnova in una recente campagna mirata

I ricercatori di sicurezza informatica di Check Point hanno puntato i riflettori su una versione completamente riscritta in Rust di una backdoor multipiattaforma nota come SysJoker, che ritengono sia stata utilizzata da un gruppo APT affiliato ad Hamas in una recente campagna mirata. “Inoltre, l’autore della minaccia è passato a utilizzare OneDrive invece di Google Drive per archiviare URL C2 dinamici (server di comando e controllo).“, affermano i ricercatori. “L’utilizzo di OneDrive consente agli aggressori di modificare facilmente l’indirizzo C2, il che consente loro di stare al passo con diversi servizi basati sulla reputazione“.

SysJoker elude le sandbox

SysJoker è stato per la prima volta documentato da Intezer nel gennaio 2022, come una backdoor scritta in C++ in grado di raccogliere informazioni di sistema e stabilire un contatto con server C2 con indirizzi URL hardcoded contenuti in file di testo ospitati su Google Drive. Il fatto di essere multipiattaforma consente agli attori criminali di colpire tutte le principali piattaforme. L’ultima variante scritta in Rust di SysJoker possiede anche un’ulteriore capacità di utilizzare intervalli di sospensione casuali in varie fasi della sua esecuzione, probabilmente nel tentativo di eludere sandbox e analisi.

Gaza Cybergang possibile responsabile

Check Point ha affermato di aver scoperto anche due nuovi campioni SysJoker progettati per Windows e significativamente più complessi, uno dei quali utilizza un processo di esecuzione in più fasi “costituito da un downloader, un programma di installazione e una DLL di payload separata.” Sebbene SysJoker non sia stato ancora formalmente attribuito ad alcun attore, le prove raccolte mostrano sovrapposizioni tra la backdoor e i campioni di malware utilizzati nell’operazione Electric Powder, una campagna mirata contro organizzazioni israeliane avvenuta tra aprile 2016 e febbraio 2017 e collegata a un attore affiliato ad Hamas noto come Gaza Cybergang. “Entrambe le campagne hanno utilizzato URL a tema API e implementato comandi di script in modo simile“, ha osservato Check Point indicando la possibilità della responsabilità di entrambi gli attacchi da parte dello stesso gruppo APT, nonostante l’ampio intervallo di tempo tra le due operazioni.

Check Point Research continuerà a cercare di scoprire, attribuire e mitigare le minacce rilevanti nella regione teatro della guerra in corso tra Israele e Hamas.

Su Salvatore Lombardo 166 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.