A “SysJoker” néven ismert multiplatformos kártevő új verzióját észlelték, amelynek a kódját a Rust programozási nyelven írták át. A SysJoker egy lopakodó Windows, Linux és macOS malware, amelyet először 2022 elején dokumentáltak, akkoriban C++ változatban.
A backdoor memórián belüli payload betöltést, rengeteg perzisztencia-mechanizmust, “living off the land” parancsokat, valamint a VirusTotalon a teljes észlelhetetlenséget mutatta.
Az új, Rust-alapú változatok vizsgálata kapcsolatot állapított meg a korábban nem attribútumokkal ellátott backdoor és az 2016-2017-re visszanyúló “Operation Electric Powder” között. Ez a művelet egy Izrael ellen irányuló kibertámadás sorozatot foglalt magába, amelyet feltehetően a Hamászhoz kötődő, “Gaza Cybergang” néven ismert csoport irányított.
A SysJoker Rust-alapú változatát először 2023. október 12-én küldték be a VirusTotalhoz, ami egybeesett az Izrael és a Hamász közötti háború kiéleződésével.
A kártevő véletlenszerű alvási időközöket és a kódsorok összetett egyéni titkosítását alkalmazza a felderítés és elemzés elkerülése érdekében.
Az első indításkor a PowerShell segítségével elvégzi a rendszerleíró adatbázis módosítását a perzisztencia érdekében, majd kilép. A későbbi futtatások során kommunikációt létesít a C2 (command and control) szerverrel, amelynek címét egy OneDrive URL-címről szerzi be.
A SysJoker elsődleges szerepe az, hogy további payloadokat töltsön be a veszélyeztetett rendszerbe, amelyeket JSON-kódolt parancsok fogadásán keresztül irányít.
Bár a kártevő továbbra is gyűjti a rendszerinformációkat, például az operációs rendszer verzióját, felhasználónevet, MAC-címet stb. és elküldi a C2-nek. A korábbi verziókban látott parancsvégrehajtási képességek hiányoznak. Ez egy későbbi kiadásban visszatérhet, vagy a backdoor fejlesztői eltávolították, hogy nehezebben észrevehetőbbé tegyék.
A konkrét elem, amely lehetővé tette a SysJoker-t potenciálisan összekapcsolni a Hamaszhoz kapcsolódó “Gaza Cybergang” csoporttal, a “StdRegProv” WMI osztály felhasználása az állandóság létrehozására használt PowerShell parancsban. Ez a módszer már korábban is előfordult az Izraeli Elektromos Művek elleni támadásokban, az “Operation Electric Powder” kampány részeként. További hasonlóságok közé tartozik bizonyos script parancsok végrehajtása, az adatgyűjtési módszerek és az API-témájú URL-ek használata.
