خزندگان Rootkit

عوامل تهدید مشاهده شده اند که از یک روت کیت منبع باز به نام Reptile برای هدف قرار دادن سیستم های لینوکس در کره جنوبی استفاده می کنند. برخلاف بدافزار روت‌کیت معمولی که عمدتاً بر روی پنهان‌سازی فعالیت‌ها تمرکز می‌کند، Reptile با ارائه عملکرد پوسته معکوس، گامی اضافی برمی‌دارد. این امر به بازیگران بد اندیش امکان می دهد تا کنترل مستقیم بر سیستم های در معرض خطر را به دست آورند و در نتیجه توانایی آنها برای دستکاری و بهره برداری از آنها را تقویت کنند.

در این زمینه، تکنیکی به نام «کوبش پورت» توسط بدافزار استفاده می‌شود. این شامل rootkit باز کردن یک پورت خاص در یک سیستم آلوده و انتظار در حالت آماده به کار است. با دریافت یک سیگنال خاص یا بسته جادویی از عوامل تهدید، می توان یک ارتباط بین سیستم در معرض خطر و سرور فرماندهی و کنترل (C2, C&C) عملیات حمله برقرار کرد. روت‌کیت نوعی نرم‌افزار تهدیدکننده است که عمداً برای ارائه دسترسی بالاتر و سطح ریشه به یک ماشین در حالی که همزمان حضور آن را مبهم می‌کند، مهندسی شده است. قابل ذکر است که Reptile از سال 2022 حداقل در چهار کمپین مجزا مورد استفاده قرار گرفته است.

چندین کمپین مضر قبلاً از Reptile Rootkit استفاده کرده اند

در مه 2022، محققان اولین نمونه از استقرار rootkit Reptile را مستند کردند که به مجموعه نفوذی به نام Earth Berberoka نسبت داده شد که به عنوان GamblingPuppet نیز شناخته می شود. در طی این کشف، مشخص شد که روت کیت برای پنهان کردن اتصالات و فرآیندهای مرتبط با یک تروجان پایتون چند پلتفرمی، معروف به Pupy RAT ، استفاده شده است. این حملات در درجه اول به وب سایت های قمار واقع در چین انجام شد.

در مارس 2023، مجموعه‌ای از حملات توسط یک عامل تهدید مظنون به نام UNC3886 که بنا بر گزارش‌ها مرتبط با چین بود، سازماندهی شد. این حملات از آسیب‌پذیری‌های روز صفر برای توزیع مجموعه‌ای از ایمپلنت‌های سفارشی در کنار روت کیت Reptile استفاده کردند.

در همان ماه، استفاده از یک بدافزار مبتنی بر لینوکس به نام Mélofée ، برگرفته از Reptile، به یک گروه هکر چینی نسبت داده شد. سپس، در ژوئن 2023، یک کمپین cryptojacking دستگاه‌ها را با درب پشتی پوسته اسکریپت آلوده کرد تا Reptile Rootkit را تحویل دهد، و عملاً فرآیندهای فرزند، فایل‌ها و محتوای آن‌ها را به عنوان بخشی از عملیات خود پنهان می‌کرد.

Reptile Rootkit مجهز به مجموعه ای پیشرفته از قابلیت های تهدید کننده است.

پس از تجزیه و تحلیل دقیق تر Reptile، یک مکانیسم متمایز ظاهر می شود: یک جزء لودر که در پشت سر هم با ابزاری به نام kmatryoshka عمل می کند. این لودر مسئول رمزگشایی و بارگذاری ماژول هسته روت کیت در حافظه سیستم است. متعاقباً، لودر باز کردن یک پورت تعیین‌شده را آغاز می‌کند و با وارد کردن یک حالت آماده‌بودن برای مهاجم برای ارسال یک سیگنال خاص، به عنوان بسته جادویی، به میزبان با استفاده از پروتکل‌های ارتباطی مانند TCP، UDP یا ICMP وارد می‌شود.

داده‌های محصور شده در بسته جادویی حاوی اطلاعات حیاتی هستند - آدرس سرور C2. با استفاده از این اطلاعات، یک پوسته معکوس ایجاد می شود که به سرور C&C متصل می شود. این تکنیک راه اندازی فعالیت های مخرب از طریق بسته های جادویی قبلاً در روت کیت دیگری به نام Syslogk ذکر شده است. در همین راستا، سناریوی حمله مشابهی با روت کیت Reptile در کره جنوبی شناسایی شد. این حمله چندین شباهت تاکتیکی به Mélofée داشت.

به طور خلاصه، Reptile به عنوان یک بدافزار rootkit حالت هسته لینوکس با عملکرد اصلی پنهان کردن فایل‌ها، دایرکتوری‌ها، فرآیندها و ارتباطات شبکه عمل می‌کند. با این وجود، یک قابلیت متمایز نیز ارائه می کند: تهیه پوسته معکوس. این ویژگی اضافی، سیستم‌هایی را که دارای Rootkit خزنده هستند به طور بالقوه در برابر ربوده شدن توسط عوامل تهدید آسیب‌پذیر می‌کند.