最新發(fā)現(xiàn)了一個(gè)名為 “SysJoker” 的多平臺(tái)惡意軟件新版本，該版本使用 Rust 編程語言進(jìn)行了完全重寫。SysJoker 是一種可在 Windows、Linux和macOS系統(tǒng)中潛伏的惡意軟件。它最初由 Intezer 于2022年初發(fā)現(xiàn)，當(dāng)時(shí)是C++ 版本。這個(gè)惡意軟件具有一些特點(diǎn)，包括能夠加載內(nèi)存中的有效負(fù)載、多種持久性機(jī)制和"離地生存"命令，而且能成功繞過VirusTotal掃描中各種殺毒軟件的檢測(cè)。

新SysJoker

基于Rust的SysJoker變體于2023年10月12日首次提交給 VirusTotal，此時(shí)恰逢以色列和巴勒斯坦之間的戰(zhàn)爭升級(jí)。

該惡意軟件通過對(duì)代碼字符串采用隨機(jī)睡眠間隔和復(fù)雜的自定義加密來逃避檢測(cè)和分析。首次啟動(dòng)時(shí)，它會(huì)使用 PowerShell 執(zhí)行持久性注冊(cè)表修改并退出。在以后的執(zhí)行中，它會(huì)與 C2（命令和控制）服務(wù)器（它從 OneDrive URL 檢索的地址）建立通信。SysJoker 的主要作用是在受感染的系統(tǒng)上獲取和加載額外的有效負(fù)載，通過接收 JSON 編碼的命令進(jìn)行定向。

盡管這個(gè)惡意軟件仍然會(huì)收集操作系統(tǒng)版本、用戶名、MAC地址等系統(tǒng)信息，并將其發(fā)送到C2服務(wù)器，但它缺乏之前版本中的命令執(zhí)行功能。這可能意味著這個(gè)功能在未來的版本中可能會(huì)回歸，或者已被后門的開發(fā)人員剝離，以使其更輕量化且更隱蔽。

可能與哈馬斯有關(guān)

Check Point 指出，Rust版本可能與2016-2017年的“火藥行動(dòng)”有關(guān)。因?yàn)榇舜斡糜诮⒊志眯缘?PowerShell命令中使用了“StdRegProv”WMI 類。該方法在過去針對(duì)以色列電力公司的攻擊中也被使用過，這是“火藥行動(dòng)”的一部分。（“火藥行動(dòng)”涉及一系列針對(duì)以色列的網(wǎng)絡(luò)攻擊，由哈馬斯附屬的威脅組織“加沙網(wǎng)絡(luò)團(tuán)伙”（Gaza Cybergang）一手策劃。）

原文來源：E安全