Hacker Hamas Serang Israel Pakai Backdoor SysJoker

Berita Cybersecurity, Backdoor SysJoker Serang Israel - Para peneliti keamanan siber telah mengungkap versi Rust dari cross-platform backdoor yang disebut backdoor SysJoker, yang diyakini telah digunakan oleh aktor ancaman yang terafiliasi dengan Hamas untuk menargetkan Israel di tengah perang yang sedang berlangsung di wilayah tersebut.

"Salah satu perubahan paling mencolok adalah beralih ke bahasa Rust, yang menunjukkan bahwa kode malware tersebut sepenuhnya ditulis ulang, namun masih mempertahankan fungsionalitas yang serupa," ujar Check Point dalam analisis pada hari Rabu. "Selain itu, aktor ancaman beralih ke menggunakan OneDrive alih-alih Google Drive untuk menyimpan URL C2 (command-and-control server) dinamis."

Backdoor SysJoker secara publik didokumentasikan oleh Intezer pada Januari 2022, menggambarkannya sebagai backdoor yang mampu mengumpulkan informasi sistem dan membentuk kontak dengan server yang dikendalikan oleh penyerang dengan mengakses file teks yang dihosting di Google Drive yang berisi URL hard coded.

"Cross-platform memungkinkan para malware author memanfaatkan infeksi yang luas pada semua platform utama," ujar VMware tahun lalu. "Backdoor SysJoker memiliki kemampuan untuk menjalankan perintah secara remote serta mendownload dan menjalankan malware baru di mesin korban."

Penemuan varian Rust dari backdoor SysJoker menunjukkan evolusi ancaman cross-platform, dengan implant menggunakan random sleep interval pada berbagai tahap eksekusinya, mungkin dalam upaya menghindari sandbox.

Satu perubahan mencolok adalah penggunaan OneDrive untuk mengambil alamat server C2 yang terenkripsi dan terkode, yang kemudian diparse untuk mengekstrak alamat IP dan port yang akan digunakan.

"Menggunakan OneDrive memungkinkan penyerang dengan mudah mengubah alamat C2, yang memungkinkan mereka tetap terdepan dalam berbagai reputation-based service," ujar Check Point. "Perilaku ini tetap konsisten di berbagai versi backdoor SysJoker."

Setelah membangun koneksi dengan server, artifacts menunggu payload tambahan yang kemudian dieksekusi di host yang disusupi.

Perusahaan keamanan siber juga mengumumkan penemuan dua sampel backdoor SysJoker yang belum pernah terlihat sebelumnya yang dirancang untuk Windows yang jauh lebih kompleks, salah satunya menggunakan proses eksekusi multi-stage untuk meluncurkan malware.

Backdoor SysJoker belum secara resmi dikaitkan kepada aktor atau kelompok ancaman manapun. Namun, bukti yang baru dikumpulkan menunjukkan adanya tumpang tindih antara sampel backdoor dan malware yang digunakan sehubungan dengan Operation Electric Powder, yang merujuk pada operasi tertarget terhadap organisasi Israel antara April 2016 dan Februari 2017.

Aktivitas ini dikaitkan oleh McAfee dengan aktor ancaman yang terafiliasi dengan Hamas yang dikenal sebagai Molerats (alias Extreme Jackal, Gaza Cyber Gang, dan TA402).

"Kedua operasi tersebut menggunakan URL bertema API dan menerapkan perintah skrip dengan cara yang serupa," kata Check Point, menaikkan kemungkinan bahwa "aktor yang sama bertanggung jawab atas kedua serangan tersebut, meskipun terdapat selisih waktu yang cukup besar antara operasinya."

Berbagi :

Anda mungkin menyukai postingan ini :

• 
  30 Juta Pengguna Android Terinfeksi Malware SpinOk di Google Play
• 
  Organisasi Indonesia Jadi Target Serangan Grup Hacker Dark Pink
• 
  Terungkap! PostalFurious Targetkan U.A.E. dengan SMS Palsu