Backdoor RotaJakiro no Linux passou despercebido

Backdoor RotaJakiro do Linux passou despercebido por anos. O malware para Linux, recém-descoberto com recursos de backdoor, tem passado despercebido por anos, permitindo que os invasores colham e exfiltrem informações confidenciais de dispositivos comprometidos. 

O backdoor, apelidado de  RotaJakiro  por pesquisadores do Network Security Research Lab (360 Netlab) da Qihoo 360, permanece não detectado pelos mecanismos antimalware do VirusTotal, embora uma amostra tenha sido enviada pela primeira vez em 2018 . O nome RotaJakiro foi dado fato de que a família usa criptografia rotativa e se comporta de forma diferente durante a root/non-root accountsexecução.

O RotaJakiro foi projetado para operar da forma mais furtiva possível, criptografando seus canais de comunicação usando a compactação ZLIB e a criptografia AES, XOR, ROTATE.

O malware presta bastante atenção para ocultar seus rastros, usando vários algoritmos de criptografia, incluindo: o uso do algoritmo AES para criptografar as informações de recursos dentro da amostra; Comunicação C2 usando uma combinação de AES, XOR, ROTATE encryption e ZLIB compression.

RotaJakiro suporta um total de 12 funções, três das quais relacionadas à execução de Plugins específicos. Infelizmente, não se tem visibilidade dos plug-ins e, portanto, não se sabe o seu verdadeiro propósito. De uma perspectiva ampla da porta dos fundos, as funções podem ser agrupadas nas quatro categorias a seguir.

  • Relatório de informações do dispositivo
  • Roubo de informações confidenciais
  • Gerenciamento de arquivo / plug-in (consulta, download, exclusão)
  • Execução de Plugin específico

No nível funcional, RotaJakiro primeiro determina se o usuário é root ou não root em tempo de execução, com políticas de execução diferentes para contas diferentes, então descriptografa os recursos sensíveis relevantes usando AES & ROTATE para persistência subsequente, proteção de processo e uso de instância única, e finalmente estabelece comunicação com C2 e aguarda a execução dos comandos emitidos por C2“, disse 360 ​​Netlab.

Backdoor do Linux usado para exfilar dados roubados

Os invasores podem usar o RotaJakiro para exfiltrar informações do sistema e dados confidenciais, gerenciar plug-ins e arquivos e executar vários plug-ins em dispositivos Linux de 64 bits comprometidos.

No entanto, o 360 Netlab ainda não descobriu a verdadeira intenção dos criadores do malware para sua ferramenta maliciosa, devido à falta de visibilidade quando se trata dos plug-ins que ele implanta em sistemas infectados.

O RotaJakiro suporta um total de 12 funções, três das quais relacionadas à execução de Plugins específicos”, acrescentam os pesquisadores. “Infelizmente, não temos visibilidade dos plug-ins e, portanto, não sabemos seu verdadeiro propósito.”

Desde 2018, quando a primeira amostra da RotaJakiro pousou no VirusTotal, a 360 Netlab encontrou quatro amostras diferentes carregadas entre maio de 2018 e janeiro de 2021, todas com um total impressionante de zero detecções.

Os servidores de comando e controle usados ​​historicamente pelo malware têm domínios registrados há seis anos, em dezembro de 2015.

Nome do arquivo MD5 Detecção Visto pela primeira vez em VT
daemon do sistema 1d45cd2c1283f927940c099b8fab593b 0/61 2018-05-16 04:22:59
daemon do sistema 11ad1e9b74b144d564825d65d7fb37d6 0/58 2018-12-25 08:02:05
daemon do sistema 5c0f375e92f551e8f2321b141c15c48f 0/56 2020-05-08 05:50:06
gvfsd-helper 64f6cfe44ba08b0babdd3904233c4857 0/61 2021-01-18 13:13:19

Os pesquisadores do 360 Netlab também descobriram links para o botnet Torii IoT detectados pela primeira vez pelo especialista em malware Vesselin Bontchev e analisados ​​pela equipe de inteligência de ameaças da Avast em setembro de 2018.

Os dois tipos de malware usam os mesmos comandos após serem implantados em sistemas comprometidos, métodos de construção semelhantes e constantes usadas por ambos os desenvolvedores.

RotaJakiro e Torii também compartilham várias semelhanças funcionais, incluindo “o uso de algoritmos de criptografia para ocultar recursos confidenciais, a implementação de um estilo bastante antigo de persistência e tráfego de rede estruturado“.

 

Fonte: Bleeping Computer & Netlab 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!