Une nouvelle version du malware multiplateforme connu sous le nom de « SysJoker » a été repérée, proposant une réécriture complète du code dans le langage de programmation Rust.
SysJoker est un malware furtif pour Windows, Linux et macOS documenté pour la première fois par Intezer début 2022, qui a découvert et analysé les versions C++ à l’époque.
La porte dérobée présentait un chargement de charge utile en mémoire, une pléthore de mécanismes de persistance, des commandes « vivre de la terre » et une absence totale de détection pour toutes ses variantes de système d’exploitation sur VirusTotal.
L’examen des nouvelles variantes basées sur Rust par Check Point a établi un lien entre la porte dérobée jusqu’alors non attribuée et « l’opération Electric Powder », qui remonte à 2016-2017.
Cette opération impliquait une série de cyberattaques visant Israël, qui seraient orchestrées par un acteur affilié au Hamas connu sous le nom de « Gaza Cybergang ».
Nouveau SysJoker
La variante SysJoker basée sur Rust a été soumise pour la première fois à VirusTotal le 12 octobre 2023, coïncidant avec l’escalade de la guerre entre Israël et le Hamas.
Le malware utilise des intervalles de veille aléatoires et un cryptage personnalisé complexe pour les chaînes de code afin d’échapper à la détection et à l’analyse.
Au premier lancement, il effectue une modification du registre pour la persistance à l’aide de PowerShell et se ferme. Lors d’exécutions ultérieures, il établit une communication avec le serveur C2 (commande et contrôle), dont il récupère l’adresse à partir d’une URL OneDrive.
Le rôle principal de SysJoker est de récupérer et de charger des charges utiles supplémentaires sur le système compromis, via la réception de commandes codées en JSON.
Bien que le malware collecte toujours des informations système telles que la version du système d’exploitation, le nom d’utilisateur, l’adresse MAC, etc., et les envoie au C2, il lui manque les capacités d’exécution de commandes vues dans les versions précédentes. Cela pourrait revenir dans une version future ou avoir été supprimé par les développeurs de la porte dérobée pour la rendre plus légère et plus furtive.
Check Point a découvert deux autres échantillons SysJoker qu’ils ont nommés « DMADevice » et « AppMessagingRegistrar » en fonction de leurs caractéristiques spécifiques, mais déclare qu’ils suivent tous des modèles opérationnels similaires.
Liens possibles avec le Hamas
L’élément spécifique qui a permis à Check Point de potentiellement lier SysJoker au groupe de menace « Gaza Cybergang » affilié au Hamas est l’utilisation de la classe WMI « StdRegProv » dans la commande PowerShell utilisée pour établir la persistance.
Cette méthode a été observée lors d’attaques antérieures contre la Compagnie électrique israélienne, dans le cadre de la campagne « Opération Poudre Électrique ».
D’autres similitudes entre les activités incluent la mise en œuvre de certaines commandes de script, les méthodes de collecte de données et l’utilisation d’URL sur le thème des API.
Cela dit, et compte tenu des preuves existantes, la confiance dans l’attribution n’est pas concluante.