Rootkit plazů

Bylo pozorováno, že aktéři hrozeb používají open-source rootkit s názvem Reptile k cílení na linuxové systémy v Jižní Koreji. Na rozdíl od konvenčního malwaru rootkit, který se primárně zaměřuje na skrývání aktivit, dělá Reptile další krok tím, že nabízí funkci zpětného shellu. To umožňuje zlomyslným aktérům získat přímou kontrolu nad kompromitovanými systémy, čímž zesílí jejich schopnost s nimi manipulovat a využívat je.

V této souvislosti malware používá techniku zvanou „klepání portu“. To znamená, že rootkit otevře konkrétní port na infikovaném systému a čeká v pohotovostním režimu. Po přijetí specifického signálu nebo „magického paketu“ od aktérů hrozby lze navázat spojení mezi napadeným systémem a serverem Command-and-Control (C2, C&C) útočné operace. Rootkit je forma ohrožujícího softwaru záměrně vytvořeného tak, aby poskytoval zvýšený, root-level přístup k počítači a současně zatemňoval jeho přítomnost. Pozoruhodné je, že Reptile byl od roku 2022 využit v nejméně čtyřech různých kampaních.

Několik škodlivých kampaní již využilo Rootkit plazů

V květnu 2022 výzkumníci zdokumentovali první případ nasazení Reptile rootkitu, připisovaného sadě narušení nazvané Earth Berberoka, známé také jako GamblingPuppet. Během tohoto objevu bylo odhaleno, že rootkit byl využit k maskování spojení a procesů spojených s multiplatformním Python trojským koněm, známým jako Pupy RAT . Tyto útoky byly zaměřeny především na webové stránky s hazardními hrami v Číně.

V březnu 2023 byla řada útoků zorganizovaná podezřelým aktérem hrozby známým jako UNC3886, údajně napojeným na Čínu. Tyto útoky využily zranitelnosti zero-day k distribuci řady na míru vyrobených implantátů spolu s rootkitem Reptile.

Ve stejném měsíci bylo použití linuxového malwaru s názvem Mélofée , odvozeného od Reptile, připsáno čínské hackerské skupině. V červnu 2023 pak kampaň cryptojacking infikovala zařízení zadními vrátky s shell skriptem, aby bylo možné dodat Reptile Rootkit a účinně skrývat své podřízené procesy, soubory a jejich obsah jako součást svých operací.

Rootkit pro plazy je vybaven pokročilou sadou hrozivých schopností

Při bližší analýze Reptile se objeví charakteristický mechanismus: komponent nakladače, který funguje v tandemu s nástrojem zvaným kmatryoshka. Tento zavaděč je zodpovědný za dešifrování a načítání modulu jádra rootkitu do paměti systému. Následně zavaděč zahájí otevření určeného portu a vstoupí do stavu připravenosti pro útočníka k odeslání speciálního signálu, označovaného jako magický paket, na hostitele pomocí komunikačních protokolů jako TCP, UDP nebo ICMP.

Data zapouzdřená v magickém paketu obsahují kritické informace – adresu serveru C2. S využitím těchto informací se vytvoří reverzní shell, který se připojí k serveru C&C. Tato technika spouštění škodlivých aktivit prostřednictvím magických paketů byla dříve zaznamenána v jiném rootkitu jménem Syslogk. Ve stejném duchu byl podobný scénář útoku zahrnující Reptile rootkit detekován v Jižní Koreji. Útok vykazoval několik taktických podobností s Mélofée.

Stručně řečeno, Reptile funguje jako rootkitový malware v režimu jádra Linuxu s primární funkcí ukrývání souborů, adresářů, procesů a síťové komunikace. Představuje však také výraznou schopnost: poskytování reverzního pláště. Tato další vlastnost činí systémy obsahující Reptile Rootkit potenciálně zranitelné vůči únosu aktéry hrozeb.