RotaJakiro Trojan

RotaJakiro Trojan Beskrivelse

Cybersikkerhedsforskere har frembragt en malware-trussel, der var i stand til at forblive skjult og udføre sine uhyggelige aktiviteter i årevis. Navngivet RotaJakiro Trojan, truslen er designet til at inficere Linux-systemer, hvor den derefter etablerede en bagdørsmekanisme. Trusselsaktøren kan kommandere det truende værktøj til at høste og derefter exfiltrere følsomme private data fra kompromitterede systemer. RotaJackiro kan også administrere og udføre plugins og filer.

RotaJakiro opnåede sine imponerende stealth-kapaciteter ved at anvende adskillige undgåelsesdetekterings- og anti-analyseteknikker. Truslen bestræber sig på at skjule både netværkskommunikation og ressourceinformation. Trafikken, der passerer gennem trusselens kommunikationskanaler, komprimeres først ved hjælp af ZLIB og krypteres derefter med AES-, XOR-, ROTATE-kryptering. AES-kryptering bruges også til at beskytte RotaJakiros ressourcer.

RotaJakiros funktionalitet

Efter at være etableret på det målrettede Linux-system er RotaJakiros første handling på kørselstid at bestemme, om brugeren har rootadgang. Afhængigt af resultatet aktiveres og udfører truslen forskellige politikker. Ved hjælp af AES ROTATE dekrypterer RotaJakiro derefter de ressourcer, den har brug for til at skabe sin vedholdenhedsmekanisme og beskytte dens processer. Først derefter forsøger truslen at kommunikere med dens Command-and-Control (C2, C&C) servere.

Indtil videre er det sande formål med de cyberkriminelle, der er ansvarlige for at implementere RotaJakiro, ikke afdækket med succes. Den største forhindring er manglen på indsigt i de plugins, der udføres af truslen. Analytikere fra Qihoo 360's Network Security Research Lab (360 Netlab) har katalogiseret 12 forskellige funktioner udført af RotaJakiro, hvoraf tre er relateret til at køre specifikke plugins.

Ligheder med anden malware

RotaJakiros karakteristika viser, at truslen deler betydelig overlapning med Torii IoT (Internet of Things) botnet. Torii blev først observeret af sikkerhedseksperten Vesselin Bontchev og analyseret af Avasts Threat Intelligence Team i september 2018. Selvom forskellige mål anvender begge malware-stammer de samme kommandoer på de inficerede systemer, mens de også udviser lignende konstruktionsmetoder og kodekonstanter.

Både RotaJakiro og Torii er afhængige af krypteringsalgoritmer for at beskytte sig mod sikkerhedsforskere, der graver i deres kode og ressourcer. Desuden viser persistensmekanismerne og den måde, truslerne strukturerer deres netværkstrafik på, yderligere forbindelser mellem de to malware-stammer.

Efterlad et Svar

Brug IKKE dette kommentarsystem til support- eller faktureringsspørgsmål. For anmodninger om teknisk support fra SpyHunter, bedes du kontakte vores tekniske supportteam direkte ved at åbne en kundesupportbillet via din SpyHunter. Se faktureringsspørgsmål på siden "Faktureringsspørgsmål eller problemer?". For generelle forespørgsler (klager, juridiske, presse, markedsføring, copyright), besøg vores side "Forespørgsler og feedback".


HTML er ikke tilladt.