الجذور الخفية للزواحف

لوحظ أن الجهات الفاعلة في مجال التهديد تستخدم برنامج rootkit مفتوح المصدر يسمى Reptile لاستهداف أنظمة Linux في كوريا الجنوبية. على عكس برامج rootkit الضارة التقليدية التي تركز بشكل أساسي على إخفاء الأنشطة ، تتخذ Reptile خطوة إضافية من خلال تقديم وظيفة shell العكسية. يمكّن هذا الجهات الفاعلة ذات العقلية الشريرة من السيطرة المباشرة على الأنظمة المعرضة للخطر ، وبالتالي تضخيم قدرتها على التلاعب بها واستغلالها.

في هذا السياق ، يتم استخدام تقنية تسمى "طرق المنفذ" بواسطة البرامج الضارة. يتضمن ذلك فتح rootkit منفذًا معينًا على نظام مصاب والانتظار في وضع الاستعداد. عند تلقي إشارة محددة أو "حزمة سحرية" من المهاجمين ، يمكن إنشاء اتصال بين النظام المخترق وخادم القيادة والتحكم (C2 ، C&C) لعملية الهجوم. الجذور الخفية هي شكل من أشكال برامج التهديد التي تم تصميمها عمدًا لتوفير وصول مرتفع على مستوى الجذر إلى الجهاز مع التعتيم على وجوده في نفس الوقت. والجدير بالذكر أنه تم استخدام الزواحف في أربع حملات متميزة على الأقل منذ عام 2022.

وقد استخدمت بالفعل العديد من الحملات الضارة الجذور الخفية للزواحف

في مايو 2022 ، وثق الباحثون أول حالة لنشر جذر الزواحف ، يُعزى إلى مجموعة تطفل تسمى Earth Berberoka ، والمعروفة أيضًا باسم GamblingPuppet. خلال هذا الاكتشاف ، تم الكشف عن استخدام rootkit لإخفاء الاتصالات والعمليات المرتبطة بـ Python Trojan عبر الأنظمة الأساسية ، والمعروفة باسم Pupy RAT . كانت هذه الهجمات موجهة بشكل أساسي إلى مواقع المقامرة الموجودة في الصين.

في مارس 2023 ، تم تنظيم سلسلة من الهجمات من قبل جهة تهديد مشتبه بها تعرف باسم UNC3886 ، يقال إنها مرتبطة بالصين. استفادت هذه الهجمات من ثغرات يوم الصفر لتوزيع مجموعة من الغرسات المصنوعة حسب الطلب ، جنبًا إلى جنب مع جذر الزواحف.

في نفس الشهر ، نُسب استخدام برنامج ضار قائم على Linux يُدعى Mélofée ، مشتق من Reptile ، إلى مجموعة قرصنة صينية. بعد ذلك ، في يونيو 2023 ، أصابت حملة cryptojacking الأجهزة بباب خلفي لبرنامج نصي شل لتقديم Reptile Rootkit ، وإخفاء عملياتها وملفاتها ومحتوياتها بشكل فعال كجزء من عملياتها.

تم تجهيز الجذور الخفية للزواحف بمجموعة متقدمة من قدرات التهديد

عند تحليل الزواحف عن كثب ، تظهر آلية مميزة: مكون محمل يعمل جنبًا إلى جنب مع أداة تسمى kmatryoshka. هذا المُحمل مسؤول عن فك تشفير وحدة نواة rootkit وتحميلها في ذاكرة النظام. بعد ذلك ، يبدأ المُحمل في فتح منفذ معين ، ويدخل في حالة استعداد للمهاجم لإرسال إشارة خاصة ، يشار إليها باسم الحزمة السحرية ، إلى المضيف باستخدام بروتوكولات الاتصال مثل TCP أو UDP أو ICMP.

تحتوي البيانات المغلفة داخل الحزمة السحرية على معلومات مهمة - عنوان خادم C2. باستخدام هذه المعلومات ، يتم إنشاء غلاف عكسي ، والاتصال بخادم القيادة والتحكم. تمت ملاحظة هذه التقنية الخاصة بإثارة الأنشطة الضارة عبر الحزم السحرية سابقًا في مجموعة أدوات الجذر الأخرى المسماة Syslogk. على نفس المنوال ، تم الكشف عن سيناريو هجوم مماثل يتضمن جذر الزواحف في كوريا الجنوبية. أظهر الهجوم عدة أوجه شبه تكتيكية مع ميلوفي.

باختصار ، يعمل Reptile كبرنامج ضار في وضع Linux kernel مع وظيفة أساسية تتمثل في إخفاء الملفات والدلائل والعمليات واتصالات الشبكة. ومع ذلك ، فإنه يقدم أيضًا قدرة مميزة: توفير غلاف عكسي. هذه السمة الإضافية تجعل الأنظمة التي تؤوي جذور الزواحف عرضة للاختطاف من قبل جهات التهديد.