Reptil Rootkit

Trusselsaktører er blevet observeret i brug af et open source-rootkit ved navn Reptile til at målrette mod Linux-systemer i Sydkorea. I modsætning til konventionel rootkit-malware, der primært fokuserer på at skjule aktiviteter, tager Reptile et ekstra skridt ved at tilbyde en omvendt shell-funktionalitet. Dette gør det muligt for ondsindede aktører at få direkte kontrol over kompromitterede systemer og derved forstærke deres evne til at manipulere og udnytte dem.

I denne sammenhæng anvendes en teknik kaldet 'port banking' af malwaren. Dette indebærer, at rootkittet åbner en specifik port på et inficeret system og venter i standbytilstand. Ved modtagelse af et specifikt signal eller 'magisk pakke' fra trusselsaktørerne, kan der etableres en forbindelse mellem det kompromitterede system og Command-and-Control-serveren (C2, C&C) for angrebsoperationen. Et rootkit er en form for truende software, der bevidst er udviklet til at levere forhøjet adgang til en maskine på rodniveau, mens den samtidig slører dens tilstedeværelse. Især er Reptile blevet brugt i mindst fire forskellige kampagner siden år 2022.

Adskillige skadelige kampagner har allerede brugt krybdyrrodsættet

I maj 2022 dokumenterede forskere den første forekomst af Reptile rootkit-udrulningen, tilskrevet et indtrængningssæt kaldet Earth Berberoka, også anerkendt som GamblingPuppet. Under denne opdagelse blev det afsløret, at rootkittet blev brugt til at skjule forbindelser og processer knyttet til en cross-platform Python Trojan, kendt som Pupy RAT . Disse angreb var primært rettet mod gambling-websteder i Kina.

I marts 2023 blev en række angreb orkestreret af en formodet trusselsaktør kendt som UNC3886, angiveligt knyttet til Kina. Disse angreb udnyttede nul-dages sårbarheder til at distribuere en række specialfremstillede implantater sammen med Reptile rootkit.

Inden for samme måned blev brugen af en Linux-baseret malware ved navn Mélofée , afledt af Reptile, tilskrevet en kinesisk hackergruppe. Så, i juni 2023, inficerede en kryptojacking-kampagne enheder med en shell-script-bagdør for at levere Reptile Rootkit, der effektivt skjulte dets underordnede processer, filer og deres indhold som en del af dets operationer.

Reptil-rodsættet er udstyret med et avanceret sæt truende egenskaber

Ved nærmere analyse af Reptile opstår der en karakteristisk mekanisme: en læssekomponent, der fungerer sammen med et værktøj kaldet kmatryoshka. Denne indlæser er ansvarlig for at dekryptere og indlæse rootkittets kernemodul i systemets hukommelse. Efterfølgende starter indlæseren åbningen af en udpeget port og går ind i en tilstand af parathed for en angriber til at sende et specielt signal, kaldet en magisk pakke, til værten ved hjælp af kommunikationsprotokoller som TCP, UDP eller ICMP.

Dataene indkapslet i den magiske pakke indeholder kritisk information - adressen på C2-serveren. Ved at bruge denne information etableres en omvendt shell, der forbinder til C&C-serveren. Denne teknik til at udløse ondsindede aktiviteter via magiske pakker er tidligere blevet noteret i et andet rootkit ved navn Syslogk. På samme måde blev et lignende angrebsscenario, der involverede Reptile rootkit, opdaget i Sydkorea. Angrebet viste flere taktiske ligheder med Mélofée.

Sammenfattende fungerer Reptile som en Linux-kernetilstand rootkit malware med en primær funktion at skjule filer, mapper, processer og netværkskommunikation. Ikke desto mindre præsenterer den også en karakteristisk egenskab: tilvejebringelsen af en omvendt skal. Denne yderligere egenskab gør systemer, der huser Reptile Rootkit, potentielt sårbare over for kapring fra trusselsaktører.