Рептилия Руткит

Было замечено, что злоумышленники используют руткит с открытым исходным кодом под названием Reptile для атак на Linux-системы в Южной Корее. В отличие от обычных вредоносных программ-руткитов, которые в первую очередь фокусируются на сокрытии действий, Reptile делает дополнительный шаг, предлагая функциональность обратной оболочки. Это позволяет злоумышленникам получить прямой контроль над скомпрометированными системами, тем самым расширяя их возможности манипулировать ими и использовать их.

В этом контексте вредоносная программа использует технику, называемую «пробой порта». При этом руткит открывает определенный порт в зараженной системе и ожидает в режиме ожидания. При получении определенного сигнала или «магического пакета» от злоумышленников может быть установлено соединение между скомпрометированной системой и сервером управления и контроля (C2, C&C) операции атаки. Руткит — это форма угрожающего программного обеспечения, преднамеренно разработанного для предоставления повышенного корневого доступа к машине с одновременным сокрытием своего присутствия. Примечательно, что с 2022 года Reptile использовалась как минимум в четырех различных кампаниях.

Несколько вредоносных кампаний уже использовали руткит Reptile

В мае 2022 года исследователи задокументировали первый случай развертывания руткита Reptile, приписываемый набору вторжений под названием Earth Berberoka, также известному как GamblingPuppet. В ходе этого обнаружения выяснилось, что руткит использовался для сокрытия соединений и процессов, связанных с кроссплатформенным трояном Python, известным как Pupy RAT . Эти атаки были в первую очередь направлены на игорные сайты, расположенные в Китае.

В марте 2023 года подозреваемый злоумышленник, известный как UNC3886, был организован серией атак, которые, как сообщается, связаны с Китаем. Эти атаки использовали уязвимости нулевого дня для распространения множества изготовленных на заказ имплантатов вместе с руткитом Reptile.

В том же месяце китайская хакерская группа приписала использование вредоносного ПО для Linux под названием Mélofée , производного от Reptile. Затем, в июне 2023 года, в ходе кампании криптоджекинга устройства были заражены бэкдором сценария оболочки для доставки руткита Reptile, эффективно скрывающего его дочерние процессы, файлы и их содержимое в рамках своих операций.

Reptile Rootkit оснащен расширенным набором угрожающих возможностей

При более внимательном анализе Reptile выявляется отличительный механизм: компонент-загрузчик, который работает в тандеме с инструментом, называемым kmatryoshka. Этот загрузчик отвечает за расшифровку и загрузку модуля ядра руткита в системную память. Впоследствии загрузчик инициирует открытие назначенного порта, переходя в состояние готовности к отправке злоумышленником специального сигнала, называемого волшебным пакетом, на хост с использованием протоколов связи, таких как TCP, UDP или ICMP.

Данные, инкапсулированные в волшебный пакет, содержат важную информацию — адрес сервера C2. Используя эту информацию, устанавливается обратная оболочка, подключающаяся к C&C-серверу. Этот метод запуска вредоносных действий с помощью магических пакетов ранее был отмечен в другом рутките под названием Syslogk. Аналогичный сценарий атаки с использованием руткита Reptile был обнаружен в Южной Корее. Атака показала несколько тактических сходств с Мелофей.

Таким образом, Reptile функционирует как вредоносный руткит режима ядра Linux с основной функцией сокрытия файлов, каталогов, процессов и сетевых коммуникаций. Тем не менее, у него также есть отличительная особенность: наличие реверсивной оболочки. Эта дополнительная черта делает системы, содержащие Reptile Rootkit, потенциально уязвимыми для захвата злоумышленниками.