Rettile Rootkit

Gli attori delle minacce sono stati osservati impiegare un rootkit open source chiamato Reptile per prendere di mira i sistemi Linux in Corea del Sud. A differenza del malware rootkit convenzionale che si concentra principalmente sull'occultamento delle attività, Reptile fa un passo in più offrendo una funzionalità di shell inversa. Ciò consente agli attori malvagi di ottenere il controllo diretto sui sistemi compromessi, amplificando così la loro capacità di manipolarli e sfruttarli.

In questo contesto, il malware impiega una tecnica chiamata "port knocking". Ciò implica che il rootkit apra una porta specifica su un sistema infetto e attenda in modalità standby. Dopo aver ricevuto un segnale specifico o "pacchetto magico" dagli attori della minaccia, è possibile stabilire una connessione tra il sistema compromesso e il server di comando e controllo (C2, C&C) dell'operazione di attacco. Un rootkit è una forma di software minaccioso deliberatamente progettato per fornire un accesso elevato a livello di root a una macchina, offuscando contemporaneamente la sua presenza. In particolare, Reptile è stato utilizzato in almeno quattro campagne distinte dall'anno 2022.

Diverse campagne dannose hanno già utilizzato il Reptile Rootkit

Nel maggio 2022, i ricercatori hanno documentato la prima istanza della distribuzione del rootkit Reptile, attribuita a un set di intrusioni chiamato Earth Berberoka, riconosciuto anche come GamblingPuppet. Durante questa scoperta, è stato rivelato che il rootkit è stato utilizzato per mascherare connessioni e processi collegati a un trojan Python multipiattaforma, noto come Pupy RAT . Questi attacchi erano diretti principalmente a siti web di gioco d'azzardo situati in Cina.

Nel marzo 2023, una serie di attacchi è stata orchestrata da un sospetto attore di minacce noto come UNC3886, secondo quanto riferito collegato alla Cina. Questi attacchi sfruttavano le vulnerabilità zero-day per distribuire una serie di impianti personalizzati, insieme al rootkit Reptile.

Nello stesso mese, l'utilizzo di un malware basato su Linux chiamato Mélofée , derivato da Reptile, è stato attribuito a un gruppo di hacker cinesi. Quindi, nel giugno 2023, una campagna di cryptojacking ha infettato i dispositivi con una backdoor di script di shell per consegnare il Reptile Rootkit, nascondendo efficacemente i suoi processi figli, i file e il loro contenuto come parte delle sue operazioni.

Il Reptile Rootkit è dotato di un set avanzato di capacità minacciose

Dopo un'analisi più attenta di Reptile, emerge un meccanismo distintivo: un componente del caricatore che opera in tandem con uno strumento chiamato kmatrioshka. Questo caricatore è responsabile della decrittazione e del caricamento del modulo del kernel del rootkit nella memoria del sistema. Successivamente, il caricatore avvia l'apertura di una porta designata, entrando in uno stato di disponibilità affinché un utente malintenzionato invii un segnale speciale, denominato pacchetto magico, all'host utilizzando protocolli di comunicazione come TCP, UDP o ICMP.

I dati incapsulati all'interno del pacchetto magico contengono informazioni critiche: l'indirizzo del server C2. Utilizzando queste informazioni, viene stabilita una shell inversa, che si connette al server C&C. Questa tecnica di attivazione di attività dannose tramite pacchetti magici è stata precedentemente notata in un altro rootkit chiamato Syslogk. Allo stesso modo, in Corea del Sud è stato rilevato uno scenario di attacco simile che coinvolge il rootkit Reptile. L'attacco ha mostrato diverse somiglianze tattiche con Mélofée.

In sintesi, Reptile funziona come un malware rootkit in modalità kernel Linux con una funzione primaria di nascondere file, directory, processi e comunicazioni di rete. Tuttavia, presenta anche una capacità distintiva: la fornitura di un guscio inverso. Questa caratteristica aggiuntiva rende i sistemi che ospitano il Reptile Rootkit potenzialmente vulnerabili al dirottamento da parte di attori delle minacce.