RotaJakiro Trojan
Cybersäkerhetsforskare har tagit fram ett hot mot skadlig programvara som kunde förbli gömt och utföra sina onda aktiviteter i flera år. Namnet RotaJakiro Trojan, hotet är utformat för att infektera Linux-system där det sedan etablerade en bakdörrmekanism. Hotaktören kan beordra det hotande verktyget att skörda och sedan exfiltrera känsliga privata data från komprometterade system. RotaJackiro kan också hantera och köra plugins och filer.
RotaJakiro uppnådde sina imponerande smygfunktioner genom att använda sig av många undvikande upptäckt och anti-analys tekniker. Hotet går till stora ansträngningar för att dölja både nätverkskommunikation och resursinformation. Trafiken som passerar genom hotets kommunikationskanaler komprimeras först med ZLIB och krypteras sedan med AES-, XOR-, ROTATE-kryptering. AES-kryptering används också för att skydda RotaJakiros resurser.
RotaJakiros funktionalitet
Efter att ha etablerats på det riktade Linux-systemet är RotaJakiros första åtgärd vid körning att avgöra om användaren har root-åtkomst. Beroende på utfallet aktiverar hotet och genomför olika policyer. Med AES ROTATE dekrypterar RotaJakiro sedan de resurser som behövs för att skapa sin uthållighetsmekanism och skydda dess processer. Först därefter försöker hotet att kommunicera med sina Command-and-Control (C2, C&C) servrar.
Hittills har det verkliga syftet med de cyberbrottslingar som är ansvariga för att distribuera RotaJakiro inte upptäckts framgångsrikt. Det största hindret är bristen på insikt i de plugins som hotet utför. Analytiker från Qihoo 360: s Network Security Research Lab (360 Netlab) har katalogiserat 12 olika funktioner som utförs av RotaJakiro, varav tre är relaterade till att köra specifika plugins.
Likheter med annan skadlig kod
RotaJakiros egenskaper visar att hotet delar betydande överlappningar med Torii IoT (Internet of Things) botnet. Torii observerades först av säkerhetsexperten Vesselin Bontchev och analyserades av Avasts Threat Intelligence Team i september 2018. Även om de är olika mål, använder båda malware-stammar samma kommandon på de infekterade systemen samtidigt som de uppvisar liknande konstruktionsmetoder och kodkonstanter.
Både RotaJakiro och Torii är beroende av krypteringsalgoritmer för att skydda sig från säkerhetsforskare som gräver i deras kod och resurser. Dessutom visar uthållighetsmekanismerna och hur hoten strukturerar deras nätverkstrafik ytterligare länkar mellan de två skadliga skadestammarna.