RotaJakiroトロイの木馬

サイバーセキュリティの研究者は、何年にもわたって隠されたままでその悪質な活動を実行する可能性のあるマルウェアの脅威を明らかにしました。 RotaJakiroトロイの木馬と名付けられたこの脅威は、Linuxシステムに感染するように設計されており、そこでバックドアメカニズムを確立します。攻撃者は、脅威を与えるツールに、侵害されたシステムから機密性の高い個人データを収集して盗み出すように命令できます。 RotaJackiroは、プラグインとファイルを管理および実行することもできます。

RotaJakiroは、多数の回避検出および分析防止技術を採用することにより、その印象的なステルス機能を実現しました。この脅威は、ネットワーク通信とリソース情報の両方を隠すために多大な努力を払っています。脅威の通信チャネルを通過するトラフィックは、最初にZLIBを使用して圧縮され、次にAES、XOR、ROTATE暗号化でスクランブルされます。 AES暗号化は、RotaJakiroのリソースを保護するためにも使用されます。

ロタジャキロの機能性

ターゲットのLinuxシステムに確立された後、実行時のRotaJakiroの最初のアクションは、ユーザーがrootアクセス権を持っているかどうかを判別することです。結果に応じて、脅威はさまざまなポリシーをアクティブにして実行します。次に、AES ROTATEを使用して、RotaJakiroは、永続メカニズムを作成し、プロセスを保護するために必要なリソースを復号化します。その後、脅威はコマンドアンドコントロール（C2、C＆C）サーバーとの通信を試みます。

これまでのところ、RotaJakiroの展開を担当するサイバー犯罪者の真の目的はうまく明らかにされていません。主なハードルは、脅威によって実行されたプラグインに対する洞察の欠如です。 Qihoo 360のネットワークセキュリティリサーチラボ（360 Netlab）のアナリストは、RotaJakiroによって実行される12の異なる機能をカタログ化し、そのうち3つは特定のプラグインの実行に関連しています。

他のマルウェアとの類似点

RotaJakiroの特徴は、脅威がTorii IoT（Internet of Things）ボットネットと大幅に重複していることを示しています。鳥居は、セキュリティの専門家であるVesselin Bontchevによって最初に観察され、2018年9月にアバストの脅威インテリジェンスチームによって分析されました。ターゲットは異なりますが、どちらのマルウェア株も、感染したシステムで同じコマンドを使用し、同様の構築方法とコード定数を示します。

RotaJakiroとToriiはどちらも、暗号化アルゴリズムに依存して、セキュリティ研究者がコードやリソースを掘り下げないようにしています。さらに、永続性メカニズムと脅威がネットワークトラフィックを構築する方法は、2つのマルウェア株間の追加のリンクを示しています。