Автор: Недавно обнаруженное вредоносное ПО для Linux с возможностями бэкдора в течение многих лет оставалось незамеченным, позволяя злоумышленникам собирать и извлекать конфиденциальную информацию со взломанных устройств.
Бэкдор, названный RotaJakiro исследователями из лаборатории сетевой безопасности Qihoo 360 (360 Netlab), остается незамеченным антивирусными механизмами VirusTotal, хотя образец был впервые загружен в 2018 году.
RotaJakiro спроектирован так, чтобы работать как можно более скрытно, шифруя свои каналы связи с использованием сжатия ZLIB и шифрования AES, XOR, ROTATE.
Он также делает все возможное, чтобы блокировать анализ вредоносных программ, поскольку информация о ресурсах, обнаруженная в образце, обнаруженном системой BotMon 360 Netlab, зашифрована с использованием алгоритма AES.
Бэкдор Linux, используемый для кражи украденных данных
Злоумышленники могут использовать RotaJakiro для кражи системной информации и конфиденциальных данных, управления плагинами и файлами, а также выполнения различных плагинов на скомпрометированных 64-битных устройствах Linux. Однако, 360 Netlab еще предстоит обнаружить истинное намерение создателей вредоносного ПО.
«RotaJakiro поддерживает в общей сложности 12 функций, три из которых связаны с выполнением определенных плагинов», – добавили исследователи. «К сожалению, мы не видим плагины и поэтому не знаем их истинного назначения».
С 2018 года, когда первый образец RotaJakiro попал на VirusTotal, 360 Netlab обнаружил четыре разных образца, загруженных в период с мая 2018 года по январь 2021 года, и все они показали впечатляющее количество нулевых обнаружений.
На командно-управляющих серверах, которые исторически использовались вредоносным ПО, домены были зарегистрированы шесть лет назад, в декабре 2015 года.
Исследователи 360 Netlab также обнаружили ссылки на ботнет Torii IoT, впервые обнаруженный экспертом по вредоносным программам Веселином Бончевым и проанализированный группой анализа угроз Avast в сентябре 2018 года.
Две вредоносные программы (RotaJakiro и Torii) используют одни и те же команды после развертывания на скомпрометированных системах, аналогичные методы построения и константы.
RotaJakiro и Torii также имеют несколько общих функциональных сходств, в том числе «использование алгоритмов шифрования для сокрытия конфиденциальных ресурсов.
А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Хотелось бы выразить огромную благодарность тем, кто принимает активное участие в жизни и развитии журнала, огромное спасибо вам за это.
Журнал Cyber-X
