RotaJakiro Trojaner

Cybersicherheitsforscher haben eine Malware-Bedrohung ans Licht gebracht, die in der Lage war, jahrelang verborgen zu bleiben und ihre schändlichen Aktivitäten auszuführen. Die als RotaJakiro-Trojaner bezeichnete Bedrohung soll Linux-Systeme infizieren und anschließend einen Backdoor-Mechanismus einrichten. Der Bedrohungsakteur kann dem Bedrohungstool befehlen, vertrauliche private Daten aus kompromittierten Systemen zu sammeln und anschließend zu filtern. RotaJackiro kann auch Plugins und Dateien verwalten und ausführen.

RotaJakiro erreichte seine beeindruckenden Stealth-Fähigkeiten durch den Einsatz zahlreicher Vermeidungs- und Antianalysetechniken. Die Bedrohung besteht in großen Anstrengungen, um sowohl die Netzwerkkommunikation als auch die Ressourceninformationen zu verbergen. Der Datenverkehr, der über die Kommunikationskanäle der Bedrohung geleitet wird, wird zuerst mit ZLIB komprimiert und dann mit AES-, XOR- und ROTATE-Verschlüsselung verschlüsselt. Die AES-Verschlüsselung wird auch zum Schutz der Ressourcen von RotaJakiro verwendet.

RotaJakiros Funktionalität

Nachdem RotaJakiro auf dem Linux-Zielsystem eingerichtet wurde, besteht die erste Aktion zur Laufzeit darin, festzustellen, ob der Benutzer über Root-Zugriff verfügt. Je nach Ergebnis aktiviert die Bedrohung verschiedene Richtlinien und führt sie aus. Mit AES ROTATE entschlüsselt RotaJakiro dann die Ressourcen, die zum Erstellen des Persistenzmechanismus und zum Schutz der Prozesse erforderlich sind. Erst danach versucht die Bedrohung, mit ihren Command-and-Control-Servern (C2, C & C) zu kommunizieren.

Bisher wurde der wahre Zweck der Cyberkriminellen, die für die Bereitstellung von RotaJakiro verantwortlich sind, nicht erfolgreich aufgedeckt. Die Haupthürde ist der Mangel an Einblick in die Plugins, die von der Bedrohung ausgeführt werden. Analysten des Network Security Research Lab (360 Netlab) von Qihoo 360 haben 12 verschiedene Funktionen von RotaJakiro katalogisiert, von denen sich drei auf die Ausführung bestimmter Plugins beziehen.

Ähnlichkeiten mit anderer Malware

Die Eigenschaften von RotaJakiro zeigen, dass die Bedrohung erhebliche Überschneidungen mit dem Botnetz des Torii IoT (Internet of Things) aufweist. Torii wurde erstmals vom Sicherheitsexperten Vesselin Bontchev beobachtet und im September 2018 vom Threat Intelligence Team von Avast analysiert. Obwohl unterschiedliche Ziele, verwenden beide Malware-Stämme dieselben Befehle auf den infizierten Systemen, weisen jedoch ähnliche Konstruktionsmethoden und Codekonstanten auf.

Sowohl RotaJakiro als auch Torii verlassen sich auf Verschlüsselungsalgorithmen, um sich vor Sicherheitsforschern zu schützen, die in ihren Code und ihre Ressourcen graben. Darüber hinaus zeigen die Persistenzmechanismen und die Art und Weise, wie die Bedrohungen ihren Netzwerkverkehr strukturieren, zusätzliche Verbindungen zwischen den beiden Malware-Stämmen.