RotaJakiro Trojan
Cybersecurity-onderzoekers hebben een malwarebedreiging aan het licht gebracht die jarenlang verborgen kon blijven en zijn snode activiteiten kon uitvoeren. De dreiging, genaamd de RotaJakiro Trojan, is ontworpen om Linux-systemen te infecteren en vervolgens een achterdeurmechanisme op te zetten. De bedreigingsacteur kan de bedreigende tool opdracht geven om gevoelige privégegevens van gecompromitteerde systemen te oogsten en vervolgens te exfiltreren. RotaJackiro kan ook plug-ins en bestanden beheren en uitvoeren.
RotaJakiro behaalde zijn indrukwekkende stealth-mogelijkheden door gebruik te maken van talrijke technieken om ontwijking te detecteren en anti-analyse te gebruiken. De dreiging levert grote inspanningen om zowel de netwerkcommunicatie als de broninformatie te verbergen. Het verkeer dat door de communicatiekanalen van de dreiging gaat, wordt eerst gecomprimeerd met ZLIB en vervolgens gecodeerd met AES-, XOR-, ROTATE-codering. AES-codering wordt ook gebruikt om de bronnen van RotaJakiro te beschermen.
De functionaliteit van RotaJakiro
Nadat RotaJakiro op het beoogde Linux-systeem is ingesteld, is de eerste actie tijdens runtime om te bepalen of de gebruiker root-toegang heeft. Afhankelijk van de uitkomst wordt de dreiging geactiveerd en voert deze verschillende beleidsregels uit. Met behulp van AES ROTATE decodeert RotaJakiro vervolgens de bronnen die het nodig heeft om zijn persistentiemechanisme te creëren en zijn processen te bewaken. Pas daarna probeert de dreiging te communiceren met zijn Command-and-Control-servers (C2, C&C).
Tot dusver is het ware doel van de cybercriminelen die verantwoordelijk zijn voor het inzetten van RotaJakiro niet met succes ontdekt. De belangrijkste hindernis is het gebrek aan inzicht in de plug-ins die door de dreiging worden uitgevoerd. Analisten van het Network Security Research Lab van Qihoo 360 (360 Netlab) hebben 12 verschillende functies gecatalogiseerd die door RotaJakiro worden uitgevoerd, waarvan er drie betrekking hebben op het uitvoeren van specifieke plug-ins.
Overeenkomsten met andere malware
De kenmerken van RotaJakiro laten zien dat de dreiging aanzienlijke overlappingen vertoont met het Torii IoT-botnet (Internet of Things). Torii werd voor het eerst waargenomen door de beveiligingsexpert Vesselin Bontchev en geanalyseerd door Avast's Threat Intelligence Team in september 2018. Hoewel ze verschillende doelwitten zijn, gebruiken beide malwarestammen dezelfde commando's op de geïnfecteerde systemen, terwijl ze ook vergelijkbare constructiemethoden en codeconstanten vertonen.
Zowel RotaJakiro als Torii vertrouwen op coderingsalgoritmen om zichzelf te beschermen tegen beveiligingsonderzoekers die in hun code en bronnen graven. Bovendien tonen de persistentiemechanismen en de manier waarop de bedreigingen hun netwerkverkeer structureren, extra verbanden tussen de twee malwarestammen.
