파충류 루트킷

한국의 Linux 시스템을 대상으로 하는 Reptile이라는 오픈 소스 루트킷을 사용하는 위협 행위자가 관찰되었습니다. 주로 활동을 숨기는 데 중점을 둔 기존의 루트킷 맬웨어와 달리 Reptile은 리버스 셸 기능을 제공하여 추가 조치를 취합니다. 이를 통해 사악한 행위자는 손상된 시스템을 직접 제어할 수 있으므로 시스템을 조작하고 악용할 수 있는 능력이 증폭됩니다.

이 맥락에서 악성코드는 '포트 노킹'이라는 기술을 사용합니다. 여기에는 루트킷이 감염된 시스템의 특정 포트를 열고 대기 모드에서 대기하는 것이 포함됩니다. 공격자로부터 특정 신호 또는 '매직 패킷'을 수신하면 침해된 시스템과 공격 작전의 명령 및 제어(C2, C&C) 서버 간에 연결이 설정될 수 있습니다. 루트킷은 존재를 난독화하는 동시에 시스템에 대한 높은 루트 수준 액세스를 제공하도록 의도적으로 설계된 위협적인 소프트웨어의 한 형태입니다. 특히, Reptile은 2022년 이후 최소 4개의 개별 캠페인에 활용되었습니다.

여러 유해한 캠페인에서 이미 파충류 루트킷을 사용했습니다.

2022년 5월 연구원들은 GamblingPuppet으로도 알려진 Earth Berberoka라는 침입 세트에 기인한 Reptile 루트킷 배포의 첫 번째 인스턴스를 문서화했습니다. 이 발견 과정에서 루트킷이 Pupy RAT 로 알려진 교차 플랫폼 Python 트로이 목마에 연결된 연결 및 프로세스를 숨기는 데 사용된 것으로 밝혀졌습니다. 이러한 공격은 주로 중국에 위치한 도박 웹사이트를 대상으로 했습니다.

2023년 3월, 중국과 연계된 것으로 알려진 UNC3886으로 알려진 위협 행위자로 의심되는 행위자가 일련의 공격을 조직했습니다. 이러한 공격은 Reptile 루트킷과 함께 맞춤형 임플란트 어레이를 배포하기 위해 제로데이 취약점을 이용했습니다.

같은 달에 Reptile에서 파생된 Mélofée 라는 Linux 기반 악성코드의 사용은 중국 해킹 그룹에 기인한 것으로 밝혀졌습니다. 그 후 2023년 6월 크립토재킹 캠페인은 Reptile Rootkit을 전달하기 위해 셸 스크립트 백도어로 장치를 감염시켰고, 작업의 일부로 하위 프로세스, 파일 및 콘텐츠를 효과적으로 숨겼습니다.

Reptile Rootkit에는 고급 위협 기능 세트가 장착되어 있습니다.

Reptile을 면밀히 분석하면 독특한 메커니즘이 나타납니다. kmatryoshka라는 도구와 함께 작동하는 로더 구성 요소입니다. 이 로더는 루트킷의 커널 모듈을 해독하고 시스템 메모리에 로드하는 역할을 합니다. 그 후 로더는 지정된 포트 열기를 시작하여 공격자가 TCP, UDP 또는 ICMP와 같은 통신 프로토콜을 사용하여 호스트에 매직 패킷이라고 하는 특수 신호를 보낼 수 있는 준비 상태에 들어갑니다.

매직 패킷 내에 캡슐화된 데이터에는 중요한 정보인 C2 서버의 주소가 포함되어 있습니다. 이 정보를 활용하여 리버스 쉘이 설정되어 C&C 서버에 연결됩니다. 매직 패킷을 통해 악의적인 활동을 유발하는 이 기술은 이전에 Syslogk라는 다른 루트킷에서 언급되었습니다. 같은 맥락에서 Reptile 루트킷과 관련된 유사한 공격 시나리오가 한국에서 감지되었습니다. 공격은 Mélofée와 몇 가지 전술적 유사성을 보여주었습니다.

요약하면 Reptile은 파일, 디렉토리, 프로세스 및 네트워크 통신을 숨기는 기본 기능을 가진 Linux 커널 모드 루트킷 멀웨어로 작동합니다. 그럼에도 불구하고 독특한 기능도 제공합니다. 바로 리버스 쉘 제공입니다. 이 추가 특성은 Reptile Rootkit이 포함된 시스템을 잠재적으로 위협 행위자의 하이재킹에 취약하게 만듭니다.