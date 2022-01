Pourquoi c’est important : en décembre 2021, l’équipe de sécurité d’Intezer a identifié un logiciel malveillant écrit sur mesure sur le serveur Web Linux d’un établissement d’enseignement de premier plan. Le malware, depuis nommé SysJoker, a été découvert plus tard comme ayant également des variantes Mac et Windows, augmentant sa capacité à infecter les systèmes souhaités. Les variantes macOS et Linux sont actuellement indétectables par la plupart des produits antivirus et des scanners.

Le cheval de Troie d’accès à distance (RAT) basé sur C++ et écrit sur mesure qui n’a pas été détecté pendant plusieurs mois a peut-être été publié entre le milieu et la fin de 2021. Nommé SysJoker par l’équipe de sécurité d’Intezer, le programme se dissimule comme une mise à jour du système dans l’environnement du système d’exploitation de la cible. . Chaque variante du malware est adaptée au système d’exploitation qu’il cible, dont beaucoup se sont avérés difficiles ou impossibles à détecter. Selon VirusTotal, un agrégateur d’antivirus et de moteur d’analyse, les versions macOS et Linux du programme sont toujours indétectables.

Le comportement du RAT est similaire sur tous les systèmes d’exploitation concernés. Une fois exécuté, il se crée et se copie dans un répertoire spécifique se faisant passer pour le service d’interface utilisateur graphique commun d’Intel, igfxCUIService.exe. Après l’exécution de plusieurs autres actions, le programme commencera à collecter des informations sur la machine telles que l’adresse MAC, les numéros de série et les adresses IP.

Le billet de blog d’Intezer fournit une explication détaillée du comportement du logiciel malveillant, des schémas de décodage et de codage et des instructions de commande et de contrôle (C2).

Le blog fournit aux lecteurs des étapes de détection et de réponse qui peuvent être suivies pour déterminer si votre organisation a été compromise et quelles sont les prochaines étapes à suivre. Intezer Protect peut être utilisé pour rechercher des codes malveillants sur les systèmes basés sur Linux. La société fournit une édition communautaire gratuite du produit pour effectuer des analyses. Il est conseillé aux systèmes Windows d’utiliser le scanner de point de terminaison d’Intezer. Les propriétaires de systèmes compromis sont invités à :

Tuez les processus liés à SysJoker et supprimez le mécanisme de persistance pertinent et tous les fichiers liés à SysJoker

Exécutez une analyse de la mémoire sur la machine infectée

Enquêter sur le point d’entrée initial du logiciel malveillant

Si un serveur a été infecté par SysJoker, au cours de cette enquête, vérifiez :

Vérifier l’état de la configuration et la complexité du mot de passe pour les services publics sur les serveurs infectés

Vérifier les versions logicielles et les exploits connus affectant les serveurs infectés

L’analyse des organisations ciblées et du comportement conçu du RAT conduit les chercheurs à croire que SysJoker est l’œuvre d’un acteur de menace avancé ciblant des organisations spécifiques à des fins d’espionnage et potentiellement d’attaques de ransomwares.