Forscher decken heimliche Linux-Malware auf, die 3 Jahre lang unentdeckt blieb

Cyber Security News

Eine bisher undokumentierte Linux-Malware mit Backdoor-Fähigkeiten hat es geschafft, etwa drei Jahre lang unter dem Radar zu bleiben, was es dem dahinter stehenden Bedrohungsakteur ermöglichte, sensible Informationen von infizierten Systemen zu sammeln und zu exfiltrieren.

Die von Forschern des Qihoo 360 NETLAB als “RotaJakiro” bezeichnete Backdoor zielt auf Linux X64-Rechner ab und ist so benannt, weil “die Familie eine rotierende Verschlüsselung verwendet und sich bei der Ausführung für Root-/Nicht-Root-Konten unterschiedlich verhält.”

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Die Ergebnisse stammen aus einer Analyse eines Malware-Samples, das am 25. März entdeckt wurde, obwohl frühe Versionen anscheinend bereits im Mai 2018 auf VirusTotal hochgeladen wurden. Insgesamt wurden bisher vier Samples in der Datenbank gefunden, die alle von den meisten Anti-Malware-Engines unerkannt bleiben. Zum Zeitpunkt der Erstellung dieses Artikels stufen nur sieben Sicherheitsanbieter die neueste Version der Malware als bösartig ein.

[Blocked Image: https://thehackernews.com/images/-ztNwR1bBWt4/YIp14OFQbbI/AAAAAAAACZ4/n6DmUy8qcFEAn5kWOGdIZ-4lyRKupuoAwCLcBGAsYHQ/s0/linux-1.jpg]

“Auf funktionaler Ebene stellt RotaJakiro zunächst fest, ob der Benutzer zur Laufzeit Root oder Nicht-Root ist, mit unterschiedlichen Ausführungsrichtlinien für verschiedene Konten, entschlüsselt dann die relevanten sensiblen Ressourcen mit AES& ROTATE für die anschließende Persistenz, Prozessüberwachung und Einzelinstanznutzung und stellt schließlich die Kommunikation mit C2 her und wartet auf die Ausführung von Befehlen, die von C2 ausgegeben werden”, erklären die Forscher.

[Blocked Image: https://thehackernews.com/images/-ZBeHDQybmRM/YIp13cSy_SI/AAAAAAAACZ0/5z0oJXUly4AWiKbxQqVD3UqPi-eIl1JawCLcBGAsYHQ/s0/linux-2.jpg]

RotaJakiro wurde mit Blick auf die Tarnung entwickelt und verlässt sich auf eine Mischung aus kryptografischen Algorithmen, um die Kommunikation mit einem Command-and-Control-Server (C2) zu verschlüsseln. Außerdem werden 12 Funktionen unterstützt, die sich um das Sammeln von Geräte-Metadaten, das Stehlen sensibler Informationen, das Ausführen von dateibezogenen Operationen und das Herunterladen und Ausführen von Plug-ins kümmern, die vom C2-Server stammen.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

Da jedoch keine Hinweise auf die Art der Plugins vorliegen, bleibt die wahre Absicht hinter der Malware-Kampagne unklar. Interessanterweise wurden einige der C2-Domänen bereits im Dezember 2015 registriert, wobei die Forscher auch Überschneidungen zwischen RotaJakiro und einem Botnetz namens Torii feststellten.

“Aus der Perspektive des Reverse Engineering teilen RotaJakiro und Torii einen ähnlichen Stil: die Verwendung von Verschlüsselungsalgorithmen, um sensible Ressourcen zu verstecken, die Implementierung eines eher old-schooligen Stils der Persistenz, strukturierter Netzwerkverkehr usw.”, so die Forscher. “Wir kennen die Antwort nicht genau, aber es scheint, dass RotaJakiro und Torii einige Verbindungen haben.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com