Kit Akar Reptilia

Aktor ancaman telah diperhatikan menggunakan rootkit sumber terbuka bernama Reptilia untuk menyasarkan sistem Linux di Korea Selatan. Tidak seperti perisian hasad rootkit konvensional yang tertumpu terutamanya pada aktiviti menyembunyikan, Reptilia mengambil langkah tambahan dengan menawarkan fungsi cangkerang terbalik. Ini membolehkan aktor yang berfikiran jahat mendapat kawalan langsung ke atas sistem yang terjejas, dengan itu menguatkan keupayaan mereka untuk memanipulasi dan mengeksploitasinya.

Dalam konteks ini, teknik yang dipanggil 'port knocking' digunakan oleh perisian hasad. Ini melibatkan rootkit membuka port tertentu pada sistem yang dijangkiti dan menunggu dalam mod siap sedia. Setelah menerima isyarat atau 'paket ajaib' tertentu daripada pelaku ancaman, sambungan boleh diwujudkan antara sistem yang terjejas dan pelayan Perintah-dan-Kawalan (C2, C&C) bagi operasi serangan. Rootkit ialah satu bentuk perisian mengancam yang direka bentuk secara sengaja untuk menyampaikan akses peringkat akar yang tinggi kepada mesin sambil mengelirukan kehadirannya secara serentak. Terutamanya, Reptilia telah digunakan dalam sekurang-kurangnya empat kempen berbeza sejak tahun 2022.

Beberapa Kempen Berbahaya Telah Menggunakan Akar Reptilia Sudah

Pada Mei 2022, penyelidik mendokumentasikan contoh pertama penggunaan kit akar Reptilia, yang dikaitkan dengan set pencerobohan yang dipanggil Earth Berberoka, juga diiktiraf sebagai GamblingPuppet. Semasa penemuan ini, ia telah mendedahkan bahawa rootkit telah digunakan untuk menutup sambungan dan proses yang dikaitkan dengan Trojan Python merentas platform, yang dikenali sebagai Pupy RAT . Serangan ini terutamanya ditujukan kepada tapak web perjudian yang terletak di China.

Pada Mac 2023, beberapa siri serangan telah didalangi oleh pelakon ancaman yang disyaki dikenali sebagai UNC3886, dilaporkan dikaitkan dengan China. Serangan ini memanfaatkan kelemahan sifar hari untuk mengedarkan pelbagai implan tersuai, bersama kit akar Reptilia.

Dalam bulan yang sama, penggunaan perisian hasad berasaskan Linux bernama Mélofée , yang diperoleh daripada Reptilia, dikaitkan dengan kumpulan penggodaman Cina. Kemudian, pada Jun 2023, kempen cryptojacking menjangkiti peranti dengan pintu belakang skrip shell untuk menyampaikan Reptile Rootkit, dengan berkesan menyembunyikan proses anak, fail dan kandungannya sebagai sebahagian daripada operasinya.

Reptilia Rootkit Dilengkapi dengan Set Keupayaan Mengancam Termaju

Setelah analisis lebih dekat Reptilia, mekanisme tersendiri muncul: komponen pemuat yang beroperasi seiring dengan alat yang dipanggil kmatryoshka. Pemuat ini bertanggungjawab untuk menyahsulit dan memuatkan modul kernel rootkit ke dalam memori sistem. Selepas itu, pemuat memulakan pembukaan port yang ditetapkan, memasuki keadaan kesediaan untuk penyerang menghantar isyarat khas, dirujuk sebagai paket ajaib, kepada hos menggunakan protokol komunikasi seperti TCP, UDP atau ICMP.

Data yang terkandung dalam paket ajaib mengandungi maklumat kritikal—alamat pelayan C2. Menggunakan maklumat ini, cangkerang terbalik ditubuhkan, menyambung ke pelayan C&C. Teknik mencetuskan aktiviti berniat jahat melalui paket sihir sebelum ini telah dinyatakan dalam rootkit lain bernama Syslogk. Dalam nada yang sama, senario serangan serupa yang melibatkan rootkit Reptilia dikesan di Korea Selatan. Serangan itu menunjukkan beberapa persamaan taktikal dengan Mélofée.

Secara ringkasnya, Reptilia berfungsi sebagai perisian hasad rootkit mod kernel Linux dengan fungsi utama untuk menyembunyikan fail, direktori, proses dan komunikasi rangkaian. Namun begitu, ia juga membentangkan keupayaan tersendiri: penyediaan cangkerang terbalik. Ciri tambahan ini menjadikan sistem yang melindungi Reptile Rootkit berpotensi terdedah kepada rampasan oleh pelaku ancaman.