SysJoker = クロスプラットフォームバックドア
現在進行中のマルウェアキャンペーンのひとつに、SysJokerがあります。
こんな感じです。
- クロスプラットフォームのバックドア
ターゲット環境はWindows、Linux、macOSです。 - システムアップデートになりすまして感染活動
- ペイロードはGoogleドライブから取得
Googleドライブから取得したテキスト文字列をデコードするとペイロードが出来上がります。
ペイロードがC2として動作するのですが、このC2の基になるテキストが頻繁に更新されていることも確認されています。 - 情報収集を実施
MACアドレス、ユーザー名、物理メディアのシリアル番号、IPアドレスなどの侵入先ホストに関する情報を収集します。 - 収集情報の取り出し
盗み出すときには取得した情報はエンコードして持ち出します。 - オリジナルのマルウェア
最近のマルウェアは公開されたマルウェアのソースコードをもとに作成されるケースも増えている状況ですが、現時点ではこのC++で書かれたSysJokerはオリジナルだと考えられています。 - 検出がまだ十分でない
VirusTotalで各種ツールでの検出状況を確認できますが、Linux版とmacOS版の検出率はまだ高くない状況です。
現時点では情報収集と横展開を実施する機能のみが確認されています。
頻繁に更新されていることなどを考えあわせると、今後の更新で最終目的がランサムウェア攻撃となるように更新されていくことも懸念されます。
参考記事(外部リンク):New SysJoker Backdoor Targets Windows, Linux, and macOS
www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
