Reptile Rootkit

Autores de ameaças foram observados empregando um rootkit de código aberto chamado Reptile para atingir sistemas Linux na Coreia do Sul. Ao contrário do malware rootkit convencional que se concentra principalmente em ocultar atividades, o Reptile dá um passo extra ao oferecer uma funcionalidade de shell reverso. Isso permite que atores mal-intencionados obtenham controle direto sobre sistemas comprometidos, ampliando assim sua capacidade de manipulá-los e explorá-los.

Nesse contexto, uma técnica chamada 'port knocking' é empregada pelo malware. Isso envolve o rootkit abrindo uma porta específica em um sistema infectado e aguardando no modo de espera. Ao receber um sinal específico ou 'pacote mágico' dos agentes da ameaça, uma conexão pode ser estabelecida entre o sistema comprometido e o servidor de comando e controle (C2, C&C) da operação de ataque. Um rootkit é uma forma de software ameaçador projetado deliberadamente para fornecer acesso elevado no nível da raiz a uma máquina, ao mesmo tempo em que ofusca sua presença. Notavelmente, o Reptile foi utilizado em pelo menos quatro campanhas distintas desde o ano de 2022.

Várias Campanhas Prejudiciais já Empregaram o Reptile Rootkit 

Em maio de 2022, os pesquisadores documentaram a primeira instância da implantação do rootkit Reptile, atribuída a um conjunto de invasões chamado Earth Berberoka, também conhecido como GamblingPuppet. Durante essa descoberta, foi revelado que o rootkit foi utilizado para camuflar conexões e processos vinculados a um Trojan Python de plataforma cruzada, conhecido como Pupy RAT. Esses ataques foram direcionados principalmente a sites de jogos de azar situados na China.

Em março de 2023, uma série de ataques foi orquestrada por um suposto agente de ameaças conhecido como UNC3886, supostamente ligado à China. Esses ataques aproveitaram as vulnerabilidades de dia zero para distribuir uma variedade de implantes personalizados, juntamente com o rootkit Reptile.

No mesmo mês, o uso de um malware baseado em Linux chamado Mélofée, derivado do Reptile, foi atribuído a um grupo de hackers chinês. Então, em junho de 2023, uma campanha de cryptojacking infectou dispositivos com um backdoor de shell script para entregar o Reptile Rootkit, ocultando efetivamente seus processos filhos, arquivos e seu conteúdo como parte de suas operações.

O Reptile Rootkit é Equipado com um Conjunto Avançado de Recursos Ameaçadores

Após uma análise mais detalhada do Reptile, surge um mecanismo distinto: um componente de carregador que opera em conjunto com uma ferramenta denominada kmatryoshka. Este carregador é responsável por descriptografar e carregar o módulo do kernel do rootkit na memória do sistema. Posteriormente, o carregador inicia a abertura de uma porta designada, entrando em um estado de prontidão para que um invasor envie um sinal especial, conhecido como pacote mágico, ao host usando protocolos de comunicação como TCP, UDP ou ICMP.

Os dados encapsulados no pacote mágico contêm informações críticas – o endereço do servidor C2. Utilizando essas informações, um shell reverso é estabelecido, conectando-se ao servidor C&C. Essa técnica de desencadear atividades maliciosas por meio de pacotes mágicos foi observada anteriormente em outro rootkit chamado Syslogk. Na mesma linha, um cenário de ataque semelhante envolvendo o rootkit Reptile foi detectado na Coreia do Sul. O ataque apresentou várias semelhanças táticas com Mélofée.

Em resumo, o Reptile funciona como um malware de rootkit no modo kernel do Linux com a função principal de ocultar arquivos, diretórios, processos e comunicações de rede. No entanto, também apresenta uma capacidade distintiva: o fornecimento de um invólucro reverso. Essa característica adicional torna os sistemas que abrigam o Reptile Rootkit potencialmente vulneráveis ao sequestro por agentes de ameaças.