Reptil Rootkit

Trusselaktører har blitt observert som bruker et åpen kildekode-rootkit kalt Reptile for å målrette Linux-systemer i Sør-Korea. I motsetning til konvensjonell rootkit-malware som primært fokuserer på å skjule aktiviteter, tar Reptile et ekstra skritt ved å tilby en omvendt skallfunksjonalitet. Dette gjør det mulig for ondsinnede aktører å få direkte kontroll over kompromitterte systemer, og dermed forsterke deres evne til å manipulere og utnytte dem.

I denne sammenhengen brukes en teknikk som kalles "port knocking" av skadelig programvare. Dette innebærer at rootsettet åpner en spesifikk port på et infisert system og venter i standby-modus. Ved mottak av et spesifikt signal eller "magisk pakke" fra trusselaktørene, kan det opprettes en forbindelse mellom det kompromitterte systemet og kommando-og-kontroll-serveren (C2, C&C) for angrepsoperasjonen. Et rootkit er en form for truende programvare bevisst utviklet for å gi forhøyet tilgang på rotnivå til en maskin samtidig som den tilslører dens tilstedeværelse. Spesielt har Reptile blitt brukt i minst fire forskjellige kampanjer siden år 2022.

Flere skadelige kampanjer har allerede brukt reptilrootsettet

I mai 2022 dokumenterte forskere den første forekomsten av Reptile rootkit-utplasseringen, tilskrevet et inntrengningssett kalt Earth Berberoka, også anerkjent som GamblingPuppet. Under denne oppdagelsen ble det avslørt at rootkit ble brukt til å skjule tilkoblinger og prosesser knyttet til en kryssplattform Python Trojan, kjent som Pupy RAT . Disse angrepene var først og fremst rettet mot gamblingnettsteder i Kina.

I mars 2023 ble en serie angrep orkestrert av en mistenkt trusselaktør kjent som UNC3886, angivelig knyttet til Kina. Disse angrepene utnyttet nulldagers sårbarheter for å distribuere en rekke skreddersydde implantater, sammen med Reptile rootkit.

I løpet av samme måned ble bruken av en Linux-basert skadelig programvare kalt Mélofée , avledet fra Reptile, tilskrevet en kinesisk hackergruppe. Så, i juni 2023, infiserte en kryptojacking-kampanje enheter med en bakdør for et skallskript for å levere Reptile Rootkit, og effektivt skjule dets underordnede prosesser, filer og deres innhold som en del av driften.

Reptilrootsettet er utstyrt med et avansert sett med truende egenskaper

Ved nærmere analyse av Reptil dukker det opp en særegen mekanisme: en lasterkomponent som fungerer sammen med et verktøy kalt kmatryoshka. Denne lasteren er ansvarlig for å dekryptere og laste inn rootkittets kjernemodul inn i systemets minne. Deretter starter lasteren åpningen av en utpekt port, og går inn i en beredskapstilstand for en angriper til å sende et spesielt signal, referert til som en magisk pakke, til verten ved bruk av kommunikasjonsprotokoller som TCP, UDP eller ICMP.

Dataene som er innkapslet i den magiske pakken inneholder kritisk informasjon – adressen til C2-serveren. Ved å bruke denne informasjonen etableres et omvendt skall som kobles til C&C-serveren. Denne teknikken for å utløse ondsinnede aktiviteter via magiske pakker har tidligere blitt notert i et annet rootkit kalt Syslogk. På samme måte ble et lignende angrepsscenario som involverte Reptil-rootsettet oppdaget i Sør-Korea. Angrepet viste flere taktiske likheter med Mélofée.

Oppsummert fungerer Reptile som en Linux-kjernemodus rootkit-skadevare med en primær funksjon av å skjule filer, kataloger, prosesser og nettverkskommunikasjon. Ikke desto mindre presenterer den også en særegen evne: å tilby et omvendt skall. Denne tilleggsegenskapen gjør systemer som inneholder reptilrootsettet potensielt sårbare for kapring av trusselaktører.