सरीसृप रूटकिट
खतरा अभिनेताहरूले दक्षिण कोरियामा लिनक्स प्रणालीहरूलाई लक्षित गर्न रेप्टाइल नामको खुला स्रोत रूटकिट प्रयोग गरेको देखियो। परम्परागत रूटकिट मालवेयरको विपरीत जुन मुख्य रूपमा गतिविधिहरू लुकाउनमा केन्द्रित हुन्छ, रेप्टाइलले रिभर्स शेल कार्यक्षमता प्रस्ताव गरेर थप कदम चाल्छ। यसले दुष्ट दिमागका अभिनेताहरूलाई सम्झौता प्रणालीहरूमा प्रत्यक्ष नियन्त्रण प्राप्त गर्न सक्षम बनाउँछ, जसले गर्दा तिनीहरूको हेरफेर र शोषण गर्ने क्षमता बढाउँछ।
यस सन्दर्भमा, मालवेयरद्वारा 'पोर्ट नकिङ' नामक प्रविधि प्रयोग गरिन्छ। यसले रुटकिटले संक्रमित प्रणालीमा एउटा विशेष पोर्ट खोल्ने र स्ट्यान्डबाइ मोडमा पर्खने समावेश गर्दछ। खतरा अभिनेताहरूबाट एक विशिष्ट संकेत वा 'जादुई प्याकेट' प्राप्त गरेपछि, सम्झौता प्रणाली र आक्रमण अपरेशनको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भर बीच जडान स्थापित गर्न सकिन्छ। रूटकिट एक प्रकारको धम्की दिने सफ्टवेयर हो जुन जानाजानी मेशिनमा उन्नत, रूट-स्तर पहुँच प्रदान गर्नको लागि ईन्जिनियर गरिएको छ जबकि एकसाथ यसको उपस्थितिलाई अस्पष्ट पार्दै। उल्लेखनीय छ, सरीसृपलाई सन् २०२२ देखि कम्तीमा चारवटा छुट्टाछुट्टै अभियानमा प्रयोग गरिएको छ।
धेरै हानिकारक अभियानहरूले सरीसृप रूटकिटलाई पहिले नै प्रयोग गरिसकेका छन्
मे २०२२ मा, अन्वेषकहरूले रेप्टाइल रूटकिट डिप्लोइमेन्टको पहिलो उदाहरण दस्तावेज गरे, जसको श्रेय Earth Berberoka भनिन्छ, जसलाई GamblingPuppet पनि भनिन्छ। यस खोजको क्रममा, यो खुलासा भयो कि रुटकिटलाई पप्पी RAT भनेर चिनिने क्रस-प्लेटफर्म पाइथन ट्रोजनसँग जोडिएको जडानहरू र प्रक्रियाहरू क्लोक गर्न प्रयोग गरिएको थियो। यी आक्रमणहरू मुख्य रूपमा चीनमा अवस्थित जुवा वेबसाइटहरूमा निर्देशित थिए।
मार्च 2023 मा, UNC3886 को रूपमा चिनिने एक संदिग्ध खतरा अभिनेता द्वारा हमलाहरूको एक श्रृंखला आयोजित गरिएको थियो, कथित रूपमा चीनसँग जोडिएको। यी आक्रमणहरूले रेप्टाइल रूटकिटको साथमा अनुकूलन-निर्मित इम्प्लान्टहरूको एर्रे वितरण गर्न शून्य-दिनको कमजोरीहरूमा पूंजीकृत गरियो।
सोही महिना भित्र, रेप्टाइलबाट व्युत्पन्न Mélofée नामको लिनक्समा आधारित मालवेयरको प्रयोगलाई चिनियाँ ह्याकिङ समूहलाई श्रेय दिइएको थियो। त्यसपछि, जुन २०२३ मा, क्रिप्टोज्याकिङ अभियानले रेप्टाइल रूटकिट डेलिभर गर्न शेल स्क्रिप्ट ब्याकडोरको साथ उपकरणहरूलाई संक्रमित गर्यो, प्रभावकारी रूपमा यसको बच्चा प्रक्रियाहरू, फाइलहरू, र तिनीहरूको सामग्री लुकाएर यसको सञ्चालनको भागको रूपमा।
रिप्टाइल रूटकिट खतरा क्षमताको उन्नत सेट संग सुसज्जित छ
सरीसृपको नजिकबाट विश्लेषण गर्दा, एउटा विशिष्ट मेकानिजम देखापर्छ: एक लोडर कम्पोनेन्ट जसले kmatryoshka भनिने उपकरणसँग मिलाएर काम गर्छ। यो लोडर प्रणालीको मेमोरीमा रूटकिटको कर्नेल मोड्युल डिक्रिप्ट र लोड गर्नको लागि जिम्मेवार छ। त्यसपछि, लोडरले एक तोकिएको पोर्ट खोल्न थाल्छ, आक्रमणकारीले TCP, UDP वा ICMP जस्ता सञ्चार प्रोटोकलहरू प्रयोग गरेर होस्टलाई विशेष संकेत पठाउनको लागि तयारीको स्थितिमा प्रवेश गर्छ, जसलाई जादुई प्याकेट भनिन्छ।
जादुई प्याकेट भित्र समेटिएको डाटाले महत्वपूर्ण जानकारी समावेश गर्दछ - C2 सर्भरको ठेगाना। यस जानकारीको उपयोग गर्दै, C&C सर्भरमा जडान गरी रिभर्स शेल स्थापना गरिएको छ। जादुई प्याकेटहरू मार्फत मालिसियस गतिविधिहरू ट्रिगर गर्ने यो प्रविधि पहिले नै Syslogk नामको अर्को रूटकिटमा उल्लेख गरिएको छ। उही शिरामा, दक्षिण कोरियामा सरीसृप रूटकिट समावेश गर्ने समान आक्रमण परिदृश्य पत्ता लगाइएको थियो। आक्रमणले मेलोफीसँग धेरै सामरिक समानताहरू देखाएको छ।
सारांशमा, सरीसृपले फाइलहरू, डाइरेक्टरीहरू, प्रक्रियाहरू, र नेटवर्क सञ्चारहरू लुकाउने प्राथमिक कार्यको साथ लिनक्स कर्नेल मोड रूटकिट मालवेयरको रूपमा कार्य गर्दछ। यद्यपि, यसले एक विशिष्ट क्षमता पनि प्रस्तुत गर्दछ: रिभर्स शेलको प्रावधान। यो अतिरिक्त विशेषताले रेप्टाइल रूटकिटलाई खतरामा पार्ने व्यक्तिहरूद्वारा अपहरणको लागि सम्भावित रूपमा जोखिममा रहेका प्रणालीहरूलाई रेन्डर गर्दछ।
