中国のセキュリティ企業Qihoo 360 Netlabは水曜日、何年も検出されなかったLinuxバックドアマルウェアを特定したと発表した。
同社によると、ボット監視システムは3月25日に、使用されているプロトコルが実際にはTLS/SSLではないにもかかわらず、TCP HTTPSポート443を介して4つのコマンドアンドコントロール(C2)ドメインとやり取りする疑わしいELFプログラムを発見したという。
「サンプルを詳しく調べたところ、少なくとも3年前から存在するLinux X64システムを狙ったバックドアであることが判明した」とNetlabの研究員アレックス・チューリング氏とフイ・ワン氏は勧告の中で述べた。
このファイルのMD5シグネチャは、systemd-daemon2018年5月16日にVirusTotalに初めて掲載されましたが、既知のマルウェアは検出されていませんでした。その後3年間で、このファイルsystemd-daemonと同名の2つのファイルが発見されました。gvfsd-helper
Linux で広く使用されているシステムおよびセッション マネージャーである systemd との関連付けは、ログやプロセス リストを確認する管理者が悪意のあるコードに気付きにくくするために、マルウェア作成者によって選択された可能性があります。
Netlabはこのマルウェアファミリーを「RotaJakiro」と名付けました。これは、ローテーション機能付きの暗号化を使用し、rootアカウントで実行されているか非rootアカウントで実行されているかによって動作が異なるためです。Jakiroはゲーム「Dota 2」のキャラクターに由来しています。
中国がPulse Secure VPNゲートウェイのゼロデイ脆弱性を利用して政府、防衛、金融ネットワークに侵入?まさか
続きを読む
このマルウェアは、複数の暗号化アルゴリズムを用いて自身を隠蔽しようとします。自身のリソースを保護するためにAESを使用し、サーバーとの通信を隠蔽するためにAES、XOR、ローテーション暗号化、そしてZLIB圧縮を組み合わせています。
マルウェアが通信する C2 ドメインは、2015 年 12 月に Web4Africa を通じて登録され、ウクライナのキエフにある Deltahost PTR が提供するホスティングに依存しています。
このマルウェアはエクスプロイトではなく、標的のマシンにバックドアを開くペイロードです。無防備なユーザー、侵入者、あるいはドロッパー型トロイの木馬によってインストールされる可能性があります。RotaJakiroがどのように拡散したかは未だ解明されていません。
Netlabによると、RotaJakiroは「機密情報の窃取」「デバイス情報のアップロード」「ファイル/プラグインの配信」、そして3種類の「プラグイン実行」を含む12のコマンドをサポートしています。Netlabは現時点で、このマルウェアのプラグインがどのような機能を持つのか把握していません。
セキュリティ企業は、RotaJakiroと、別のセキュリティ企業であるAvastが2018年9月に発見したToriiボットネットとの間にいくつかの類似点を見出しています。これら2つには、機能的な類似点だけでなく、類似したコマンドやトラフィックパターンがいくつか見られます。
少なくとも、マルウェアはウイルス対策ソフトウェアによって検出され始めています。®
