Reptielen Rootkit

Er is waargenomen dat bedreigingsactoren een open-source rootkit met de naam Reptile gebruiken om Linux-systemen in Zuid-Korea aan te vallen. In tegenstelling tot conventionele rootkit-malware die zich voornamelijk richt op het verbergen van activiteiten, doet Reptile een extra stap door een reverse shell-functionaliteit aan te bieden. Hierdoor kunnen boosaardige actoren directe controle krijgen over gecompromitteerde systemen, waardoor hun vermogen om ze te manipuleren en te exploiteren wordt versterkt.

In deze context wordt door de malware een techniek genaamd 'port knocking' gebruikt. Dit houdt in dat de rootkit een specifieke poort op een geïnfecteerd systeem opent en in de standby-modus wacht. Na ontvangst van een specifiek signaal of 'magic packet' van de dreigingsactoren kan een verbinding tot stand worden gebracht tussen het gecompromitteerde systeem en de Command-and-Control (C2, C&C) server van de aanvalsoperatie. Een rootkit is een vorm van bedreigende software die met opzet is ontworpen om verhoogde toegang op rootniveau tot een machine te bieden en tegelijkertijd de aanwezigheid ervan te verdoezelen. Reptile is met name gebruikt in ten minste vier verschillende campagnes sinds het jaar 2022.

Verschillende schadelijke campagnes hebben de Reptile Rootkit al gebruikt

In mei 2022 documenteerden onderzoekers het eerste exemplaar van de implementatie van de Reptile-rootkit, toegeschreven aan een inbraakset genaamd Earth Berberoka, ook wel bekend als GamblingPuppet. Tijdens deze ontdekking werd onthuld dat de rootkit werd gebruikt om verbindingen en processen te camoufleren die zijn gekoppeld aan een platformonafhankelijke Python-trojan, bekend als de Pupy RAT . Deze aanvallen waren voornamelijk gericht op gokwebsites in China.

In maart 2023 werd een reeks aanvallen georkestreerd door een vermoedelijke bedreigingsactor, bekend als UNC3886, naar verluidt verbonden met China. Deze aanvallen maakten gebruik van zero-day-kwetsbaarheden om naast de Reptile-rootkit een reeks op maat gemaakte implantaten te verspreiden.

Binnen dezelfde maand werd het gebruik van een op Linux gebaseerde malware genaamd Mélofée , afgeleid van Reptile, toegeschreven aan een Chinese hackgroep. Vervolgens, in juni 2023, infecteerde een cryptojacking-campagne apparaten met een shell-script-achterdeur om de Reptile Rootkit te leveren, waardoor de onderliggende processen, bestanden en hun inhoud effectief werden verborgen als onderdeel van de activiteiten.

De Reptile Rootkit is uitgerust met een geavanceerde reeks bedreigende mogelijkheden

Bij nadere analyse van Reptile komt een onderscheidend mechanisme naar voren: een ladercomponent die samenwerkt met een tool genaamd kmatryoshka. Deze lader is verantwoordelijk voor het decoderen en laden van de kernelmodule van de rootkit in het systeemgeheugen. Vervolgens initieert de lader het openen van een aangewezen poort, waardoor een aanvaller klaar is om een speciaal signaal, een magisch pakket genoemd, naar de host te sturen met behulp van communicatieprotocollen zoals TCP, UDP of ICMP.

De gegevens die zijn ingekapseld in het magische pakket bevatten kritieke informatie: het adres van de C2-server. Met behulp van deze informatie wordt een reverse shell tot stand gebracht die verbinding maakt met de C&C-server. Deze techniek van het activeren van kwaadaardige activiteiten via magische pakketten is eerder opgemerkt in een andere rootkit genaamd Syslogk. In dezelfde geest werd een soortgelijk aanvalsscenario met de Reptile-rootkit gedetecteerd in Zuid-Korea. De aanval vertoonde verschillende tactische overeenkomsten met Mélofée.

Samenvattend functioneert Reptile als rootkit-malware in Linux-kernelmodus met als primaire functie het verbergen van bestanden, mappen, processen en netwerkcommunicatie. Desalniettemin biedt het ook een onderscheidend vermogen: het aanbieden van een omgekeerde schaal. Deze extra eigenschap maakt systemen die de Reptile Rootkit herbergen mogelijk kwetsbaar voor kaping door bedreigingsactoren.