สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) สพร. ... / บริการและโครงการ / ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเ... / ข่าวสารด้านความมั่นคงปลอดภัยทางไซเบอร์ / SysJoker backdoor ที่ใช้ Rust ใหม่เชื่อมโยงกับ ...

SysJoker backdoor ที่ใช้ Rust ใหม่เชื่อมโยงกับ Hamas hackers

7 December 2566

พบมัลแวร์หลายแพลตฟอร์มเวอร์ชันใหม่ที่เรียกว่า ‘SysJoker’ ซึ่งมีการเขียนโค้ดใหม่ทั้งหมดในภาษาการเขียนโปรแกรม Rust SysJoker เป็นมัลแวร์ Windows, Linux และ macOS ที่ลักลอบบันทึกข้อมูลครั้งแรกโดย Intezer เมื่อต้นปี 2022 ซึ่งเป็นผู้ค้นพบและวิเคราะห์เวอร์ชัน C++ ในขณะนั้น แบ็คดอร์มีการโหลดเพย์โหลดในหน่วยความจำ กลไกการคงอยู่มากมาย คำสั่ง “การใช้ชีวิตนอกพื้นที่” และการขาดการตรวจจับโดยสิ้นเชิงสำหรับระบบปฏิบัติการทุกรูปแบบบน VirusTotal การตรวจสอบโดย Check Point เกี่ยวกับรูปแบบใหม่ Rust Based ได้สร้างความเชื่อมโยงระหว่างแบ็คดอร์ที่ไม่ได้ระบุแหล่งที่มาก่อนหน้านี้กับ ‘Operation Electric Powder’ ซึ่งมีขึ้นตั้งแต่ปี 2559-2560 ปฏิบัติการนี้เกี่ยวข้องกับการโจมตีทางไซเบอร์หลายครั้งที่มุ่งเป้าไปที่อิสราเอล ซึ่งเชื่อกันว่าเป็นผู้บงการโดยผู้ก่อภัยคุกคามในเครือฮามาสที่รู้จักกันในชื่อ ‘Gaza Cybergang’

SysJoker เวอร์ชันที่ใช้ Rust ถูกส่งไปยัง VirusTotal เป็นครั้งแรกเมื่อวันที่ 12 ตุลาคม 2023 ซึ่งตรงกับการเพิ่มขึ้นของสงครามระหว่างอิสราเอลและฮามาส มัลแวร์ใช้ช่วงการนอนหลับแบบสุ่มและการเข้ารหัสแบบกำหนดเองที่ซับซ้อนสำหรับสตริงโค้ดเพื่อหลบเลี่ยงการตรวจจับและการวิเคราะห์ ในการเปิดตัวครั้งแรก จะดำเนินการแก้ไขรีจิสทรีเพื่อความคงอยู่โดยใช้ PowerShell และออกเมื่อดำเนินการในภายหลัง ระบบจะสร้างการสื่อสารกับเซิร์ฟเวอร์ C2 (คำสั่งและการควบคุม) ซึ่งเป็นที่อยู่ที่ได้รับจาก URL ของ OneDrive บทบาทหลักของ SysJoker คือการดึงข้อมูลและโหลดเพย์โหลดเพิ่มเติมบนระบบที่ถูกบุกรุก ซึ่งสั่งการผ่านการรับคำสั่งที่เข้ารหัส JSON แม้ว่ามัลแวร์จะยังคงรวบรวมข้อมูลระบบ เช่น เวอร์ชันระบบปฏิบัติการ ชื่อผู้ใช้ ที่อยู่ MAC ฯลฯ และส่งไปยัง C2 แต่ก็ขาดความสามารถในการดำเนินการคำสั่งที่เห็นในเวอร์ชันก่อนหน้า สิ่งนี้อาจกลับมาอีกในรุ่นอนาคตหรือถูกนักพัฒนาแบ็คดอร์ถอดออกเพื่อทำให้เบาลงและซ่อนตัวมากขึ้น CheckPoint ค้นพบตัวอย่าง SysJoker อีกสองตัวอย่างที่พวกเขาตั้งชื่อว่า ‘DMADevice’ และ ‘AppMessagingRegistrar’ ตามลักษณะเฉพาะของพวกเขา แต่ระบุว่าทั้งหมดเป็นไปตามรูปแบบการปฏิบัติงานที่คล้ายคลึงกัน องค์ประกอบเฉพาะที่อนุญาตให้ Check Point สามารถเชื่อมโยง SysJoker กับกลุ่มภัยคุกคามในเครือฮามาส ‘Gaza Cybergang’ กำลังใช้คลาส WMI ‘StdRegProv’ ในคำสั่ง PowerShell ที่ใช้สำหรับสร้างความคงอยู่ วิธีการนี้พบเห็นได้ในการโจมตีบริษัท IsraelElectric ในอดีต ซึ่งเป็นส่วนหนึ่งของแคมเปญ ‘ปฏิบัติการผงไฟฟ้า’ ความคล้ายคลึงอื่นๆ ระหว่างกิจกรรม ได้แก่ การใช้คำสั่งสคริปต์บางอย่าง วิธีการรวบรวมข้อมูล และการใช้ URL ธีม API ทั้งหมดที่กล่าวมา และจากหลักฐานที่มีอยู่ ความเชื่อมั่นในการระบุแหล่งที่มายังไม่เป็นที่แน่ชัด