Reptile Rootkit

Забелязани са заплахи, които използват руткит с отворен код, наречен Reptile, за насочване към Linux системи в Южна Корея. За разлика от конвенционалния руткит злонамерен софтуер, който основно се фокусира върху прикриване на дейности, Reptile прави допълнителна стъпка, като предлага функция за обратна обвивка. Това позволява на злонамерените участници да получат директен контрол върху компрометирани системи, като по този начин увеличават способността си да ги манипулират и експлоатират.

В този контекст злонамереният софтуер използва техника, наречена „удар на порта“. Това включва руткит отваряне на конкретен порт на заразена система и изчакване в режим на готовност. При получаване на конкретен сигнал или „магически пакет“ от участниците в заплахата може да се установи връзка между компрометираната система и сървъра за командване и управление (C2, C&C) на операцията на атаката. Руткитът е форма на заплашителен софтуер, умишлено проектиран да предоставя повишен достъп на ниво root до машина, като същевременно прикрива нейното присъствие. Трябва да се отбележи, че Reptile е използван в най-малко четири различни кампании от 2022 г.

Няколко вредни кампании вече са използвали руткита за влечуги

През май 2022 г. изследователите документираха първия случай на внедряване на руткит Reptile, приписван на набор за проникване, наречен Earth Berberoka, също разпознат като GamblingPuppet. По време на това откритие беше разкрито, че руткитът е бил използван за прикриване на връзки и процеси, свързани с крос-платформен троянски кон на Python, известен като Pupy RAT . Тези атаки бяха насочени основно към уебсайтове за хазарт, разположени в Китай.

През март 2023 г. поредица от атаки бяха организирани от заподозрян актьор, известен като UNC3886, за който се твърди, че е свързан с Китай. Тези атаки се възползваха от уязвимостите от нулевия ден, за да разпространят набор от персонализирани импланти, заедно с руткита Reptile.

През същия месец използването на базиран на Linux зловреден софтуер, наречен Mélofée , извлечен от Reptile, беше приписано на китайска хакерска група. След това, през юни 2023 г., кампания за криптоджакинг зарази устройства със задна врата на скрипт на обвивка, за да достави Reptile Rootkit, ефективно скривайки своите дъщерни процеси, файлове и тяхното съдържание като част от своите операции.

Reptile Rootkit е оборудван с разширен набор от заплашителни възможности

При по-внимателен анализ на Reptile се появява отличителен механизъм: компонент за зареждане, който работи в тандем с инструмент, наречен kmatryoshka. Този товарач е отговорен за декриптирането и зареждането на модула на ядрото на руткита в паметта на системата. Впоследствие товарачът инициира отварянето на определен порт, влизайки в състояние на готовност за нападател да изпрати специален сигнал, наричан магически пакет, към хоста, използвайки комуникационни протоколи като TCP, UDP или ICMP.

Данните, капсулирани в магическия пакет, съдържат критична информация - адреса на сървъра C2. Използвайки тази информация, се установява обратна обвивка, свързваща се с C&C сървъра. Тази техника за задействане на злонамерени дейности чрез магически пакети е била отбелязана преди това в друг руткит, наречен Syslogk. В същия дух, подобен сценарий на атака, включващ руткита Reptile, беше открит в Южна Корея. Атаката показа няколко тактически прилики с Mélofée.

В обобщение, Reptile функционира като руткит злонамерен софтуер в режим на ядрото на Linux с основна функция да прикрива файлове, директории, процеси и мрежови комуникации. Независимо от това, той също така представя отличителна способност: осигуряване на обратна обвивка. Тази допълнителна характеристика прави системите, съдържащи Reptile Rootkit, потенциално уязвими за отвличане от заплахи.