Photo by Marouane on Unsplash

資安業者Check Point Research近日發現了新版本的跨平臺木馬程式SysJoker，它原本使用C++撰寫，但最新版本卻是採用Rust程式語言，且已被與哈馬斯（Hamas）有關的駭客集團用來對付以色列。

SysJoker最早現身於2021年，當時它就是一個跨平臺的木馬程式，可用來攻擊Windows、Linux與macOS平臺。它偽裝成系統更新檔，再解碼存放於Google Drive的檔案來產生C&C，根據當時揭露它的資安業者Intezer分析，SysJoker會不斷變更其C&C伺服器，意味著駭客非常積極且監控著遭到危害的裝置，相信它是在尋找特定的目標。

SysJoker在不同平臺上的行為都很類似，Intezer認為其攻擊目的是為了間諜活動，但具備橫向移動的特性，或許也可能導致勒索軟體攻擊。

Check Point Research所發現的SysJoker卻是以Rust撰寫，代表駭客完全重寫了SysJoker，卻保持類似的功能，此外，駭客轉而利用OneDrive而非Google Drive來儲存動態的C&C網址。

另一方面，C++版本的SysJoker不但可從封存檔案中下載與執行遠端程式，也能執行由駭客指示的命令，但Rust版本在接收與執行下載的檔案後，會根據行動的成功與否再聯繫C&C伺服器，並無直接執行指令的能力。

最新研究認為Rust版SysJoker與Operation Electric Powder駭客任務有關，這是在2016/2017年間攻擊以色列電力公司Israel Electric Company的行動，它們都使用了以API為主題的URL，並以類似的手法執行腳本命令。