ХАМАС меняет арсенал: обновленный SysJoker бросает вызов Израилю

Исследовательская группа Check Point Research отслеживает активное развитие SysJoker, кроссплатформенного бэкдора, который, как предполагается, использовался связанной с ХАМАС хакерской группой для атак на Израиль.

Среди ключевых изменений в SysJoker – переход с C++ на язык программирования Rust, что указывает на полное переписывание кода вредоносного ПО, сохраняя при этом аналогичный функционал. Также злоумышленники перешли на использование OneDrive вместо Google Drive для хранения динамических URL-адресов сервера управления и контроля (Command and Control, C2)​​.

Один из вариантов SysJoker, написанный на Rust, был представлен в VirusTotal под названием php-cgi.exe. Вредоносное ПО использует случайные интервалы сна на разных этапах выполнения, что может служить мерой антианализа. SysJoker собирает информацию о заражённой системе –версию Windows, имя пользователя, MAC-адрес, IP-адрес и другие данные. Собранная информация отправляется на C2-сервер.

Анализ новых вариантов SysJoker показал связь с ранее не раскрытыми образцами операции Electric Powder, серии целенаправленных атак на израильские организации в период с 2016 по 2017 год, которые были косвенно связаны с хакерской группой Gaza Cybergang (Gaza Hackers Team, MoleRATs), предположительно действующей из Палестины.

В 2017 году компания Palo Alto обнаружила вредоносную кампанию группировки Gaza Cybergang, направленной против правительственных организаций. Злоумышленники использовали два образца вредоносного ПО – загрузчик Downeks и троян для удаленного доступа (RAT) QuasarRAT – которые предназначены для атак на пользователей, разговаривающих на иврите.