Rootkit pentru reptile

Au fost observați actori amenințători care folosesc un rootkit open-source numit Reptile pentru a viza sistemele Linux din Coreea de Sud. Spre deosebire de malware-ul convențional rootkit care se concentrează în primul rând pe ascunderea activităților, Reptile face un pas suplimentar, oferind o funcționalitate reverse shell. Acest lucru le permite actorilor cu mintea rea să obțină control direct asupra sistemelor compromise, amplificându-le astfel capacitatea de a le manipula și exploata.

În acest context, o tehnică numită „port knocking” este folosită de malware. Aceasta implică deschiderea rootkit-ului unui anumit port pe un sistem infectat și așteptarea în modul de așteptare. La primirea unui anumit semnal sau „pachet magic” de la actorii amenințărilor, se poate stabili o conexiune între sistemul compromis și serverul Command-and-Control (C2, C&C) al operațiunii de atac. Un rootkit este o formă de software amenințător proiectat în mod deliberat pentru a oferi acces ridicat, la nivel de rădăcină, la o mașină, în timp ce concomitent îi ofusca prezența. În special, Reptile a fost utilizată în cel puțin patru campanii distincte începând cu anul 2022.

Mai multe campanii dăunătoare au folosit deja rădăcină pentru reptile

În mai 2022, cercetătorii au documentat prima instanță a implementării rootkit-ului Reptile, atribuită unui set de intruziune numit Earth Berberoka, recunoscut și ca GamblingPuppet. În timpul acestei descoperiri, a fost dezvăluit că rootkit-ul a fost utilizat pentru a acoperi conexiunile și procesele legate de un troian Python multiplatform, cunoscut sub numele de Pupy RAT . Aceste atacuri au fost îndreptate în principal către site-uri de jocuri de noroc situate în China.

În martie 2023, o serie de atacuri au fost orchestrate de un presupus actor de amenințare cunoscut sub numele de UNC3886, care ar fi legat de China. Aceste atacuri au valorificat vulnerabilitățile zero-day pentru a distribui o serie de implanturi personalizate, alături de rootkit-ul Reptile.

În aceeași lună, utilizarea unui malware bazat pe Linux numit Mélofée , derivat din Reptile, a fost atribuită unui grup chinez de hacking. Apoi, în iunie 2023, o campanie de criptojacking a infectat dispozitivele cu o ușă din spate de script shell pentru a livra Reptile Rootkit, ascunzând eficient procesele, fișierele și conținutul acestora ca parte a operațiunilor sale.

Rootkit-ul pentru reptile este echipat cu un set avansat de capabilități de amenințare

La o analiză mai atentă a Reptilei, apare un mecanism distinctiv: o componentă de încărcare care funcționează în tandem cu un instrument numit kmatryoshka. Acest încărcător este responsabil pentru decriptarea și încărcarea modulului kernel al rootkit-ului în memoria sistemului. Ulterior, încărcătorul inițiază deschiderea unui port desemnat, intrând într-o stare de pregătire pentru ca un atacator să trimită un semnal special, denumit pachet magic, către gazdă folosind protocoale de comunicare precum TCP, UDP sau ICMP.

Datele încapsulate în pachetul magic conțin informații critice - adresa serverului C2. Folosind aceste informații, se stabilește un shell invers, care se conectează la serverul C&C. Această tehnică de declanșare a activităților rău intenționate prin intermediul pachetelor magice a fost menționată anterior într-un alt rootkit numit Syslogk. În același sens, un scenariu similar de atac care implică rootkit-ul Reptile a fost detectat în Coreea de Sud. Atacul a arătat mai multe asemănări tactice cu Mélofée.

În rezumat, Reptile funcționează ca un malware rootkit în modul kernel Linux cu o funcție principală de a ascunde fișiere, directoare, procese și comunicații în rețea. Cu toate acestea, prezintă, de asemenea, o capacitate distinctivă: furnizarea unei carcase inversate. Această trăsătură suplimentară face ca sistemele care adăpostesc Reptile Rootkit să fie potențial vulnerabile la deturnarea de către actorii amenințărilor.