Check Point Research активно следит за развитием SysJoker, ранее публично не афишируемого мультиплатформенного бэкдора, который использовался APT, связанной с ХАМАС, для атак на Израиль.
Среди наиболее заметных изменений - переход на язык Rust, что указывает на то, что код вредоносной программы был полностью переписан, сохранив при этом схожие функциональные возможности. Кроме того, атакующий перешел на использование OneDrive вместо Google Drive для хранения динамических URL-адресов C2 (командно-контрольного сервера).
Анализ новых обнаруженных вариантов SysJoker выявил связь с ранее не раскрытыми образцами Operation Electric Powder - серии целевых атак на израильские организации в 2016-2017 годах, которые были слабо связаны с атакующим агентом, известным как Gaza Cybergang.
Indicators of Compromise
IPv4
- 62.108.40.129
- 85.31.231.49
Domains
- audiosound-visual.com
- filestorage-short.org
- sharing-u-file.com
SHA256
- 0ff6ff167c71b86c511c36cba8f75d1d5209710907a807667f97ce323df9c4ba
- 67ddd2af9a8ca3f92bda17bd990e0f3c4ab1d9bea47333fe31205eede8ecc706
- 6c8471e8c37e0a3d608184147f89d81d62f9442541a04d15d9ead0b3e0862d95
- 96dc31cf0f9e7e59b4e00627f9c7f7a8cac3b8f4338b27d713b0aaf6abacfe6f
- d4095f8b2fd0e6deb605baa1530c32336298afd026afc0f41030fa43371e3e72
- e076e9893adb0c6d0c70cd7019a266d5fd02b429c01cfe51329b2318e9239836