خزندگان Rootkit
عوامل تهدید مشاهده شده اند که از یک روت کیت منبع باز به نام Reptile برای هدف قرار دادن سیستم های لینوکس در کره جنوبی استفاده می کنند. برخلاف بدافزار روتکیت معمولی که عمدتاً بر روی پنهانسازی فعالیتها تمرکز میکند، Reptile با ارائه عملکرد پوسته معکوس، گامی اضافی برمیدارد. این امر به بازیگران بد اندیش امکان می دهد تا کنترل مستقیم بر سیستم های در معرض خطر را به دست آورند و در نتیجه توانایی آنها برای دستکاری و بهره برداری از آنها را تقویت کنند.
در این زمینه، تکنیکی به نام «کوبش پورت» توسط بدافزار استفاده میشود. این شامل rootkit باز کردن یک پورت خاص در یک سیستم آلوده و انتظار در حالت آماده به کار است. با دریافت یک سیگنال خاص یا بسته جادویی از عوامل تهدید، می توان یک ارتباط بین سیستم در معرض خطر و سرور فرماندهی و کنترل (C2, C&C) عملیات حمله برقرار کرد. روتکیت نوعی نرمافزار تهدیدکننده است که عمداً برای ارائه دسترسی بالاتر و سطح ریشه به یک ماشین در حالی که همزمان حضور آن را مبهم میکند، مهندسی شده است. قابل ذکر است که Reptile از سال 2022 حداقل در چهار کمپین مجزا مورد استفاده قرار گرفته است.
چندین کمپین مضر قبلاً از Reptile Rootkit استفاده کرده اند
در مه 2022، محققان اولین نمونه از استقرار rootkit Reptile را مستند کردند که به مجموعه نفوذی به نام Earth Berberoka نسبت داده شد که به عنوان GamblingPuppet نیز شناخته می شود. در طی این کشف، مشخص شد که روت کیت برای پنهان کردن اتصالات و فرآیندهای مرتبط با یک تروجان پایتون چند پلتفرمی، معروف به Pupy RAT ، استفاده شده است. این حملات در درجه اول به وب سایت های قمار واقع در چین انجام شد.
در مارس 2023، مجموعهای از حملات توسط یک عامل تهدید مظنون به نام UNC3886 که بنا بر گزارشها مرتبط با چین بود، سازماندهی شد. این حملات از آسیبپذیریهای روز صفر برای توزیع مجموعهای از ایمپلنتهای سفارشی در کنار روت کیت Reptile استفاده کردند.
در همان ماه، استفاده از یک بدافزار مبتنی بر لینوکس به نام Mélofée ، برگرفته از Reptile، به یک گروه هکر چینی نسبت داده شد. سپس، در ژوئن 2023، یک کمپین cryptojacking دستگاهها را با درب پشتی پوسته اسکریپت آلوده کرد تا Reptile Rootkit را تحویل دهد، و عملاً فرآیندهای فرزند، فایلها و محتوای آنها را به عنوان بخشی از عملیات خود پنهان میکرد.
Reptile Rootkit مجهز به مجموعه ای پیشرفته از قابلیت های تهدید کننده است.
پس از تجزیه و تحلیل دقیق تر Reptile، یک مکانیسم متمایز ظاهر می شود: یک جزء لودر که در پشت سر هم با ابزاری به نام kmatryoshka عمل می کند. این لودر مسئول رمزگشایی و بارگذاری ماژول هسته روت کیت در حافظه سیستم است. متعاقباً، لودر باز کردن یک پورت تعیینشده را آغاز میکند و با وارد کردن یک حالت آمادهبودن برای مهاجم برای ارسال یک سیگنال خاص، به عنوان بسته جادویی، به میزبان با استفاده از پروتکلهای ارتباطی مانند TCP، UDP یا ICMP وارد میشود.
دادههای محصور شده در بسته جادویی حاوی اطلاعات حیاتی هستند - آدرس سرور C2. با استفاده از این اطلاعات، یک پوسته معکوس ایجاد می شود که به سرور C&C متصل می شود. این تکنیک راه اندازی فعالیت های مخرب از طریق بسته های جادویی قبلاً در روت کیت دیگری به نام Syslogk ذکر شده است. در همین راستا، سناریوی حمله مشابهی با روت کیت Reptile در کره جنوبی شناسایی شد. این حمله چندین شباهت تاکتیکی به Mélofée داشت.
به طور خلاصه، Reptile به عنوان یک بدافزار rootkit حالت هسته لینوکس با عملکرد اصلی پنهان کردن فایلها، دایرکتوریها، فرآیندها و ارتباطات شبکه عمل میکند. با این وجود، یک قابلیت متمایز نیز ارائه می کند: تهیه پوسته معکوس. این ویژگی اضافی، سیستمهایی را که دارای Rootkit خزنده هستند به طور بالقوه در برابر ربوده شدن توسط عوامل تهدید آسیبپذیر میکند.