एक नया क्रॉस-प्लेटफ़ॉर्म पिछले दरवाजे बुलाया “सिसजोकर“एक चल रहे जासूसी अभियान के हिस्से के रूप में विंडोज, लिनक्स और मैकओएस ऑपरेटिंग सिस्टम चलाने वाली मशीनों को लक्षित करते हुए देखा गया है, जिसके बारे में माना जाता है कि इसे 2021 की दूसरी छमाही के दौरान शुरू किया गया था।

“SysJoker एक सिस्टम अपडेट के रूप में बहाना बनाता है और इसे उत्पन्न करता है [command-and-control server] Google ड्राइव पर होस्ट की गई टेक्स्ट फ़ाइल से प्राप्त स्ट्रिंग को डीकोड करके,” इंटेज़र शोधकर्ता अविगायिल मेचिंगर, रयान रॉबिन्सन और निकोल फिशबीन विख्यात एक तकनीकी लेखन में अपने निष्कर्षों को प्रचारित करते हुए। “पीड़ित विज्ञान और मैलवेयर के व्यवहार के आधार पर, हम आकलन करते हैं कि SysJoker विशिष्ट लक्ष्यों के बाद है।”

स्वचालित GitHub बैकअप

इज़राइली साइबर सुरक्षा कंपनी ने एक उन्नत खतरे वाले अभिनेता को काम का श्रेय देते हुए कहा कि उसने पहली बार दिसंबर 2021 में एक अज्ञात शैक्षणिक संस्थान से संबंधित लिनक्स-आधारित वेब सर्वर के खिलाफ सक्रिय हमले के दौरान प्रत्यारोपण के साक्ष्य की खोज की।

एक C++-आधारित मैलवेयर, SysJoker एक दूरस्थ सर्वर से एक ड्रॉपर फ़ाइल के माध्यम से वितरित किया जाता है, जिसे निष्पादन पर, समझौता किए गए होस्ट के बारे में जानकारी एकत्र करने के लिए इंजीनियर किया जाता है, जैसे MAC पता, उपयोगकर्ता नाम, भौतिक मीडिया सीरियल नंबर और IP पता, सभी जिनमें से एन्कोड किया गया है और सर्वर पर वापस प्रेषित किया गया है।

डेटा उल्लंघनों को रोकें

इसके अलावा, हमलावर-नियंत्रित सर्वर से कनेक्शन हार्ड-कोडेड Google ड्राइव लिंक से डोमेन के URL को निकालकर स्थापित किया जाता है जो एक टेक्स्ट फ़ाइल (“domain.txt”) को होस्ट करता है, जिससे सर्वर को उस मशीन को निर्देश रिले करने में सक्षम बनाता है जो अनुमति देता है मैलवेयर मनमाने ढंग से कमांड और निष्पादन योग्य चलाने के लिए, जिसके बाद परिणाम वापस भेज दिए जाते हैं।

“तथ्य यह है कि कोड खरोंच से लिखा गया था और अन्य हमलों में पहले नहीं देखा गया है [and] हमने हमलावर से भेजा गया दूसरा चरण या आदेश नहीं देखा है […] पता चलता है कि हमला विशिष्ट है जो आमतौर पर एक उन्नत अभिनेता के लिए उपयुक्त है,” शोधकर्ताओं ने कहा।

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here