资安业者Check Point Research近日发现了新版本的跨平台木马程式SysJoker,它原本使用C++撰写,但最新版本却是采用Rust程式语言,且已被与哈马斯(Hamas)有关的骇客集团用来对付以色列。
SysJoker最早现身于2021年,当时它就是一个跨平台的木马程式,可用来攻击Windows、Linux与macOS平台。它伪装成系统更新档,再解码存放于Google Drive的档案来产生C&C,根据当时揭露它的资安业者Intezer分析,SysJoker会不断变更其C&C伺服器,意味著骇客非常积极且监控著遭到危害的装置,相信它是在寻找特定的目标。
SysJoker在不同平台上的行为都很类似,Intezer认为其攻击目的是为了间谍活动,但具备横向移动的特性,或许也可能导致勒索软体攻击。
Check Point Research所发现的SysJoker却是以Rust撰写,代表骇客完全重写了SysJoker,却保持类似的功能,此外,骇客转而利用OneDrive而非Google Drive来储存动态的C&C网址。
另一方面,C++版本的SysJoker不但可从封存档案中下载与执行远端程式,也能执行由骇客指示的命令,但Rust版本在接收与执行下载的档案后,会根据行动的成功与否再联系C&C伺服器,并无直接执行指令的能力。
最新研究认为Rust版SysJoker与Operation Electric Powder骇客任务有关,这是在2016/2017年间攻击以色列电力公司Israel Electric Company的行动,它们都使用了以API为主题的URL,并以类似的手法执行脚本命令。