現在很多產品都標榜跨平台,而惡意軟體也不例外,我們最常見的惡意軟體,通常將攻擊目標瞄準在單一作業系統上,不過這次出現的新款後門惡意軟體非常特別,可以說打破過去我們的既定印象。這一款被命名為「SysJoker」是最新被發現的跨平台惡意軟體,可影響到 Windows、macOS 和 Linux 三種系統。
新的「三位一體」後門惡意軟體出現,Windows、macOS 與 Linux 都會受害
雖說以 Windows 系統為目標的惡意軟體一抓一大把,但真正能夠在 Windows、macOS 與 Linux 三種不同平台上逞兇的惡意軟體很罕見。在 2021 年 12 月時, Intezer 的安全研究人員首度發現這款惡意軟體並將之命名為「SysJoker」。從某種角度來說,SysJoker 在 Windows 以外的兩個平台上更加狡猾,VirusTotal 也無法檢測到惡意軟體在 Linux 和 macOS 上的種種跡象。
▲在一部已經受感染的 M1 版 Mac 上使用 VirusTotal 也掃不出 SysJoker
SysJoker 的攻擊走我們已經耳熟能詳的「開後門」方式,為利用它的攻擊者提供一個祕密間諜工具,可以隱密地滲透系統並控制上面的所有操作。Intezel 推斷, SysJoker 應該是高階威脅參與者(Advanced Threat Actor)的產物,並且暗示有潛在勒索軟體的風險,在該單位的報告中寫道:「根據惡意軟體的能力」,我們評估攻擊的目標是間諜活動,以及橫向的擴散,很可能也會將投放勒索軟體作為下一階段的攻擊。」
SysJoker 偽裝成系統更新,並通過解碼從 Google 雲端硬碟上託管文件檔案中檢索到的字串來生成其 C2。在 Intezer 分析過程中,C2 更改了三次,表明攻擊者處於活動狀態並正在監視受感染的電腦,根據受害者和惡意軟體的行為,可推斷 SysJoker 或許在追逐特定目標。SysJoker 已上傳到 VirusTotal,後綴為.ts,用於 TypeScript 檔,此惡意軟體很可能是透過受感染的 npm 包為散播媒介。下圖就是 SysJoker 與 C2 的通訊流程:
這款惡意軟體是從零開始重新編寫,並非其他惡意軟體的變種,其細節在以往的攻擊中未曾見過,在過去的實務上也幾乎沒有發現過針對 Linux 的惡意軟體。攻擊者註冊了至少 4 個不同的網域,並且從頭開始為 Windows、macOS 與 Linux 編寫,心思之縝密、手法之新穎很有觀察的價值。在整個分析過程中,Intezer 也沒有發現攻擊者送出第二階段攻擊或指令,這表明該攻擊有特定目標與特定操控者,多半會是由高階威脅參與者(Advanced Threat Actor)執行下一步驟。
