Các nhà nghiên cứu đã phát hiện ra phần mềm độc hại “lén lút” trên Linux mà không bị phát hiện trong 3 năm. Phần mềm đó là gì? Hãy tìm hiểu qua bài viết dưới đây!
Phần mềm độc hại “lén lút” trên Linux mà không bị phát hiện trong 3 năm
Một phần mềm độc hại Linux không có giấy tờ trước đây với các khả năng “cửa hậu” đã nằm dưới tầm kiểm soát của nó trong khoảng ba năm, cho phép kẻ đe dọa đứng sau hoạt động thu thập và lọc thông tin nhạy cảm từ các hệ thống bị nhiễm.
Được các nhà nghiên cứu từ Qihoo 360 NETLAB mệnh danh là “RotaJakiro”, backdoor nhắm mục tiêu đến các máy Linux X64 và được đặt tên theo thực tế là “dòng máy sử dụng mã hóa xoay vòng và hoạt động khác nhau đối với các tài khoản root / không phải root khi thực thi.”
Những phát hiện này xuất phát từ sự phân tích một mẫu phần mềm độc hại được phát hiện vào ngày 25/3, mặc dù phiên bản đầu có vẻ như đã được tải lên VirusTotal khá sớm từ tháng 5/2018. Một tổng của bốn mẫu đã được tìm thấy cho đến nay trên cơ sở dữ liệu, tất cả trong số đó vẫn còn không bị phát hiện bởi hầu hết các công cụ chống phần mềm độc hại.
Sự phân tích một mẫu phần mềm độc hại được phát hiện vào ngày 25/3
“Ở cấp độ chức năng, RotaJakiro trước tiên xác định xem người dùng là root hay không root tại thời điểm chạy, với các chính sách thực thi khác nhau cho các tài khoản khác nhau, sau đó giải mã các tài nguyên nhạy cảm có liên quan bằng cách sử dụng AES & ROTATE cho sự duy trì tiếp theo, bảo vệ quy trình và sử dụng phiên bản đơn lẻ, và cuối cùng thiết lập giao tiếp với C2 và đợi việc thực thi các lệnh do C2 đưa ra” – Các nhà nghiên cứu giải thích.
Sự trùng lặp giữa một mạng botnet có tên Torii và RotaJakiro
RotaJakiro được thiết kế với mục đích tàng hình, dựa trên sự kết hợp của các thuật toán mật mã để mã hóa thông tin liên lạc của nó với máy chủ điều khiển và kiểm soát (C2), ngoài ra còn hỗ trợ 12 chức năng giúp thu thập siêu dữ liệu thiết bị, lấy cắp thông tin nhạy cảm , thực hiện các thao tác liên quan đến tệp, tải xuống và thực thi các plugins được kéo từ máy chủ C2.
Nhưng không có bằng chứng nào để làm sáng tỏ bản chất của các plugins, mục đích thực sự đằng sau chiến dịch phần mềm độc hại vẫn chưa rõ ràng. Điều thú vị là một số miền C2 đã được đăng ký từ trước đến tháng 12 năm 2015, các nhà nghiên cứu cũng quan sát thấy sự trùng lặp giữa RotaJakiro và một mạng botnet có tên Torii .
Các nhà nghiên cứu cho biết: “Từ quan điểm của kỹ thuật đảo ngược, RotaJakiro và Torii chia sẻ các phong cách tương tự: việc sử dụng các thuật toán mã hóa để ẩn các tài nguyên nhạy cảm, thực hiện một phong cách bền bỉ khá cũ, lưu lượng mạng có cấu trúc, v.v.”. “Chúng tôi không biết chính xác câu trả lời, nhưng có vẻ như RotaJakiro và Torii có một vài mối liên hệ với nhau.”
(Nguồn: The Hacker News)
Nếu có bất kỳ thắc mắc hay góp ý nào, vui lòng bình luận phía dưới bài viết này, hoặc liên hệ với HOSTVN, chúng tôi sẵn sàng hỗ trợ bạn ngay lập tức!
- Website: https://hostvn.net/
- Điện thoại: 024 4455 3333 (Hà Nội) – 028 4455 3333 (HCM) – Nhánh 1
- Tổng đài miễn cước: 1800 888 939
- Email: kinhdoanh@hostvn.net
