Siber güvenlik araştırmacıları, en az yarım yıldır antivirüs programlarının radarlarında uçan ve en azından eğitim kurumlarını hedefleyen bir Uzaktan Erişim Truva Atı (RAT) ortaya çıkardı.
Ars Technica tarafından bildirildiği üzere, RAT, onu keşfeden Intezer araştırmacıları tarafından SysJoker olarak adlandırıldı. Onu ilk keşfettiklerinde, “önde gelen bir eğitim kurumuna” ait Linux tabanlı bir Web sunucusunda, sıfırdan yazıldığını öğrendiler.
Kimin inşa ettiğini, ne zaman inşa ettiklerini veya nasıl dağıttıklarını bilmiyorlar. En iyi tahminleri, geçen yılın ikinci yarısında, “önemli kaynaklara” sahip gelişmiş bir tehdit aktörü tarafından inşa edilmiş olmasıdır. Bu sonuca, dört ayrı C2 sunucusuna sahip, tamamen platformlar arası kötü amaçlı yazılımların nadir görülen bir durum olduğu gerçeğini bilerek geldiler.
SysJoker’i Kaldırma
Dağıtıma gelince, söz konusu eğitim kurumunun onu kötü niyetli bir npm paketi aracılığıyla uç noktasına kurduğunu düşünüyorlar. Saldırganların hedefin sistemlerindeki herhangi bir kusurdan yararlanmadıklarından, bunun yerine birilerini onu yüklemesi için kandırdıklarından eminler. Saldırganların geniş bir ağ oluşturmamaları, bunun yerine belirli hedeflere karşı “yanal hareketle birlikte casusluk ve sonraki aşamalardan biri olarak fidye yazılımı saldırısına yol açabilecek” olma ihtimali yüksektir.
Kötü amaçlı yazılım C++ ile yazılmıştır ve henüz VirusTotal kötü amaçlı yazılım arama motoruna eklenmemiştir. Ayrıca, dosyalar oluşturabildiği, kayıt komutları ekleyebildiği, daha fazla kötü amaçlı yazılım yükleyebildiği, virüslü cihazda komut çalıştırabildiği ve hatta kendini kapatabildiği için oldukça güçlü görünüyor.
RAT henüz virüs veritabanına eklenmediğinden, enfeksiyonu keşfeden sistem yöneticilerinin kötü amaçlı yazılımı manuel olarak kaldırması gerekir. Buna göre iTechPost , bu üç adımlı bir işlemdir: 1) kötü amaçlı yazılımın kalıcılık mekanizmasını ortadan kaldırın, etkilenen tüm dosyaları manuel olarak silin ve kötü amaçlı yazılımla ilgili tüm programları kapatın; 2) tüm kötü amaçlı dosyaların kaldırıldığından emin olmak için bir bellek tarayıcı çalıştırın; 3) tüm yazılım araçlarının güncellenip güncellenmediğini kontrol edin, güvenlik duvarı ayarlarını sıkılaştırın ve olası erişim noktalarını araştırın.
Üzerinden: Ars Teknik
