SysJoker Backdoor

Eine meist unentdeckte Backdoor-Bedrohung namens SysJoker bedroht Computer mit Windows, Linux und macOS. Die Malware wurde von Intezer entdeckt und laut ihren Erkenntnissen sind die Linux- und macOS-Varianten vollständig nicht nachweisbar, während die von Windows eine extrem niedrige Erkennungsrate hat.

Der erste Angriff mit SysJoker fand im Dezember 2021 statt und zielte auf einen Linux-Webserver einer "führenden Bildungseinrichtung" ab. Die Angreifer können den über SysJoker eingerichteten illegalen Zugriff auf verschiedene Weise ausnutzen. Sie können zusätzliche Bedrohungen einsetzen, um den Angriff zu eskalieren, neue Ziele zu suchen oder sogar den Hintertür-Zugang an andere cyberkriminelle Gruppen zu verkaufen.

Technische Details

Die derzeit verfügbaren Daten deuten darauf hin, dass der erste Angriffsvektor von SysJoker durch ein bedrohliches npm-Paket erfolgen könnte. NPM steht für „Node Package Manager“, der standardmäßige Paketmanager für die JavaScript-Laufzeit Node.js. Es ist auch eines der größten Online-Depots für die Veröffentlichung von Open-Source-Node.js-Projekten.

Das Verhalten von SysJoker ist unter Linux und macOS identisch, während die Bedrohung unter Windows einen dedizierten Dropper der ersten Stufe verwendet. Sobald sie sich im Zielgerät befindet, bleibt die Hintertür zunächst für einen zufälligen Zeitraum inaktiv, der zwischen eineinhalb und zwei Minuten liegt. SysJoker wechselt zwischen jedem Schritt seiner schändlichen Programmierung in diesen inaktiven Modus.

Die Bedrohung erstellt das Verzeichnis C:\ProgramData\SystemData\ und kopiert sich dort unter dem Namen 'igfxCUIService.exe', um als echter Intel Graphics Common User Interface Service aufzutreten. Ein Persistenzmechanismus wird eingerichtet, indem ein neuer Eintrag in „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run“ eingefügt wird.

Der C2-Server und die Befehle

SysJoker sammelt verschiedene Informationen über das infizierte System. Die gesammelten Daten können die MAC-Adresse des Geräts, den Benutzernamen der IP-Adresse und mehr umfassen. Diese Fingerabdruckdaten werden in einer temporären Textdatei abgelegt anfangs, dann in einem JSON-Objekt gespeichert und schließlich codiert und in eine Datei namens 'microsoft_Windows.dll' geschrieben.

Bevor die Daten exfiltriert werden können, muss SysJoker die Adresse seines Command-and-Control-Servers (C2, C&C) abrufen. Der erste Schritt in diesem Prozess besteht darin, einen hartcodierten Google Drive-Link mit einem XOR-Schlüssel zu entschlüsseln, der auch in die Bedrohung hartcodiert ist. Der Drive-Link führt zu einer Textdatei, die eine codierte C2-Adresse enthält, die sich dynamisch ändert. Nach erfolgreichem Verbindungsaufbau und dem Senden der gesammelten Informationen über das Opfer wartet SysJoker auf weitere Befehle.

Die Bedrohung kann mehrere unterschiedliche Befehle erkennen, aber einige ('remover_reg' und 'exit') sind in aktuellen SysJoker-Versionen nicht vollständig implementiert. Die beiden aktivierten Befehle sind 'exe' und 'cmd'. Durch den Befehl 'exe' können die Angreifer SysJoker anweisen, zusätzliche beschädigte ausführbare Dateien abzurufen und dann auszuführen. Der eingehende Befehl enthält das Verzeichnis, in dem die Datei abgelegt werden soll, und ihren Namen. Der Befehl 'cmd' ist dafür verantwortlich, beliebige Befehle auf dem System zu empfangen und anschließend auszuführen.