Berafiliasi dengan Hamas, Sejumlah Hacker Gunakan SkyJoker Versi Rust Targetkan Israel
Cyberthreat.id – Sejumlah hacker yang berafiliasi dengan Hamas saat ini menargetkan Israel di tengah perang yang sedang berlangsung. Peneliti keamanan siber menjelaskan, dalam aksinya para hacker itu menggunakan platform SysJoker versi Rust.
“Di antara perubahan yang paling menonjol adalah peralihan ke bahasa Rust, yang menunjukkan kode malware telah ditulis ulang seluruhnya, namun tetap mempertahankan fungsi serupa,” kata Check Point dalam analisisnya pada hari Rabu sebagaimana dikutip The Hacker News.
“Selain itu, pelaku ancaman beralih menggunakan OneDrive daripada Google Drive untuk menyimpan URL C2 (server perintah dan kontrol) dinamis.”
SysJoker didokumentasikan secara publik oleh Intezer pada Januari 2022, menggambarkannya sebagai pintu belakang yang mampu mengumpulkan informasi sistem dan menjalin kontak dengan server yang dikendalikan penyerang dengan mengakses file teks yang dihosting di Google Drive yang berisi URL berkode keras.
“Menjadi lintas platform memungkinkan pembuat malware mendapatkan keuntungan dari infeksi yang luas di semua platform utama,” kata VMware tahun lalu.
“SysJoker memiliki kemampuan untuk menjalankan perintah dari jarak jauh serta mengunduh dan mengeksekusi malware baru di mesin korban.”
Penemuan varian Rust dari SysJoker menunjukkan evolusi ancaman lintas platform, dengan implan yang menggunakan interval tidur acak pada berbagai tahap pelaksanaannya, kemungkinan besar dalam upaya menghindari kotak pasir.
Salah satu perubahan penting adalah penggunaan OneDrive untuk mengambil alamat server C2 yang dienkripsi dan dikodekan, yang kemudian diurai untuk mengekstrak alamat IP dan port yang akan digunakan.
“Menggunakan OneDrive memungkinkan penyerang dengan mudah mengubah alamat C2, yang memungkinkan mereka tetap terdepan dalam berbagai layanan berbasis reputasi,” kata Check Point. "Perilaku ini tetap konsisten di berbagai versi SysJoker."
Setelah membuat koneksi dengan server, artefak menunggu muatan tambahan lebih lanjut yang kemudian dieksekusi pada host yang disusupi.
Perusahaan keamanan siber tersebut mengatakan pihaknya juga menemukan dua sampel SysJoker yang belum pernah dilihat sebelumnya yang dirancang untuk Windows dan jauh lebih kompleks, salah satunya menggunakan proses eksekusi multi-tahap untuk meluncurkan malware.
SysJoker belum secara resmi dikaitkan dengan aktor atau kelompok ancaman mana pun.
Namun bukti yang baru dikumpulkan menunjukkan tumpang tindih antara sampel backdoor dan malware yang digunakan sehubungan dengan Operation Electric Powder, yang mengacu pada kampanye yang ditargetkan terhadap organisasi Israel antara April 2016 dan Februari 2017.
Aktivitas ini dikaitkan oleh McAfee dengan aktor ancaman yang berafiliasi dengan Hamas yang dikenal sebagai Molerats (alias Extreme Jackal, Gaza Cyber Gang, dan TA402).
“Kedua kampanye tersebut menggunakan URL bertema API dan mengimplementasikan perintah skrip dengan cara yang sama,” kata Check Point, meningkatkan kemungkinan bahwa “aktor yang sama bertanggung jawab atas kedua serangan tersebut, meskipun ada kesenjangan waktu yang besar antara operasinya.”[]
