Reptile Rootkit

Fenyegető szereplőket figyeltek meg, akik egy Reptile nevű nyílt forráskódú rootkitet használnak a dél-koreai Linux rendszerek megcélzására. A hagyományos rootkit rosszindulatú programokkal ellentétben, amelyek elsősorban a tevékenységek elrejtésére összpontosítanak, a Reptile egy további lépést tesz azáltal, hogy fordított shell funkciót kínál. Ez lehetővé teszi a gonosz gondolkodású szereplők számára, hogy közvetlen irányítást szerezzenek a kompromittált rendszerek felett, ezáltal megerősítve a képességüket, hogy manipulálják és kihasználják azokat.

Ebben az összefüggésben a „port kopogtatásnak” nevezett technikát alkalmazza a kártevő. Ez azt jelenti, hogy a rootkit megnyit egy adott portot a fertőzött rendszeren, és készenléti módban vár. A fenyegetés szereplőitől adott jel vagy „varázscsomag” érkezésekor kapcsolat létesíthető a feltört rendszer és a támadási művelet Command-and-Control (C2, C&C) szervere között. A rootkit a fenyegető szoftver egy formája, amelyet szándékosan úgy terveztek, hogy magasabb szintű, gyökérszintű hozzáférést biztosítson a géphez, miközben egyidejűleg elhomályosítja a jelenlétét. Nevezetesen, a Reptile-t legalább négy különböző kampányban használták 2022 óta.

Számos ártalmas kampány alkalmazta már a Reptile Rootkit-et

2022 májusában a kutatók dokumentálták a Reptile rootkit telepítésének első példányát, amelyet az Earth Berberoka nevű behatolási halmaznak tulajdonítottak, amelyet Gambling Puppet néven is ismertek. A felfedezés során kiderült, hogy a rootkitet a Pupy RAT néven ismert, többplatformos Python trójaihoz kapcsolódó kapcsolatok és folyamatok álcázására használták. Ezek a támadások elsősorban Kínában található szerencsejáték-webhelyek ellen irányultak.

2023 márciusában támadássorozatot szervezett egy, az UNC3886 néven ismert fenyegetettség gyanús szereplője, aki állítólag Kínához köthető. Ezek a támadások a nulladik napi sebezhetőséget kihasználva egy sor egyedi készítésű implantátumot terjesztettek a Reptile rootkit mellett.

Ugyanebben a hónapban a Reptile-ből származó Mélofée nevű Linux-alapú rosszindulatú program használatát egy kínai hackercsoportnak tulajdonították. Aztán 2023 júniusában egy kriptográfiai kampány megfertőzte az eszközöket egy shell script-hátsó ajtóval a Reptile Rootkit szállítása érdekében, hatékonyan elrejtve az utódfolyamatokat, fájlokat és azok tartalmát a műveletei részeként.

A Reptile Rootkit fejlett fenyegetési képességekkel van felszerelve

A Reptile közelebbi elemzése során egy jellegzetes mechanizmus derül ki: egy rakodóelem, amely párhuzamosan működik a kmatryoshka nevű eszközzel. Ez a betöltő felelős a rootkit kernelmoduljának dekódolásáért és a rendszer memóriájába való betöltéséért. Ezt követően a betöltő kezdeményezi egy kijelölt port megnyitását, és készenléti állapotba kerül, hogy a támadó speciális jelet küldjön, amelyet mágikus csomagnak neveznek a gazdagépnek olyan kommunikációs protokollok használatával, mint a TCP, UDP vagy ICMP.

A varázscsomagba beágyazott adatok kritikus információkat tartalmaznak – a C2 szerver címét. Ezen információk felhasználásával egy fordított shell jön létre, amely csatlakozik a C&C szerverhez. A rosszindulatú tevékenységek mágikus csomagokon keresztül történő kiváltásának ezt a technikáját korábban egy másik, Syslogk nevű rootkit is feljegyezte. Ugyanebben a szellemben egy hasonló támadási forgatókönyvet észleltek Dél-Koreában a Reptile rootkittel. A támadás számos taktikai hasonlóságot mutatott Mélofée-val.

Összefoglalva, a Reptile Linux kernel módú rootkit kártevőként működik, amelynek elsődleges feladata a fájlok, könyvtárak, folyamatok és hálózati kommunikáció elrejtése. Mindazonáltal rendelkezik egy jellegzetes képességgel is: egy fordított héj biztosításával. Ez a további tulajdonság a Reptile Rootkit-et tartalmazó rendszereket potenciálisan sebezhetővé teszi a fenyegetés szereplői általi eltérítéssel szemben.