Windows・macOS・Linuxを標的とするマルチプラットフォームのバックドアマルウェア「SysJoker」が発見されたと、セキュリティ企業のIntezerが報告しています。2021年12月にはSysJokerによる攻撃が、Linuxベースのウェブサーバーで確認されているとのことです。
New SysJoker Backdoor Targets Windows, Linux, and macOS - Intezer
https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
New SysJoker backdoor targets Windows, macOS, and Linux
https://www.bleepingcomputer.com/news/security/new-sysjoker-backdoor-targets-windows-macos-and-linux/
SysJokerはC++でコーディングされており、亜種は標的となるOSに合わせて作られているとのこと。57種類のアンチウイルス検出エンジンを使用しているオンラインマルウェアスキャンサイト「VirusTotal」では、亜種を含めたSysJokerのすべてが検出されませんでした。
(中略)
技術系ニュースサイトのBleepingComputerは、SysJokerを検出するための痕跡情報を各OSごとに、以下の通りにまとめています。
◆Windows
SysJokerのファイルは「C:ProgramData\RecoverySystem」フォルダ内の「C:ProgramData%%igfxCUIService.exe」および「C:ProgramData%%microsoft_Windows.dll」に格納されています。SysJokerは永続化のために「igfxCUIService」というオートラン設定を作成し、igfxCUIService.exeというマルウェアの実行ファイルを起動します。
◆macOS
SysJokerのファイルが「/Library/」に作成され、LaunchAgentを介して「/Library/LaunchAgents/com.apple.update.plist」の下で永続化されます。
◆Linux
SysJokerのファイルやディレクトリが「/.Library/」の下に作成され、以下のcronジョブを作成することで永続化されます。
@reboot (/.Library/SystemServices/updateSystem)
また、BleepingComputerは、もしSysJokerに感染していることが判明した場合は次の手順を行うように述べています。
1:マルウェアに関連するすべてのプロセスを強制終了し、SysJokerの永続化に関するディレクトリやファイルを手動で削除する。
2:メモリスキャナーを実行し、すべての悪意のあるファイルがシステムから根こそぎ削除されていることを確認する。
3:エントリポイントを調査し、ファイアウォールの構成を確認し、すべてのソフトウェアを利用可能な最新バージョンに更新する。
Windows・macOS・Linuxを標的にするバックドアマルウェア「SysJoker」が報告される
https://gigazine.net/news/20220112-sysjoker-backdoor-in-windows-mac-linux/
