Rootkit plazov

Boli pozorovaní aktéri hrozieb, ktorí využívajú open-source rootkit s názvom Reptile na zacielenie na linuxové systémy v Južnej Kórei. Na rozdiel od bežného malvéru rootkit, ktorý sa primárne zameriava na skrývanie aktivít, Reptile robí ďalší krok tým, že ponúka funkciu spätného shellu. To umožňuje zle zmýšľajúcim aktérom získať priamu kontrolu nad kompromitovanými systémami, čím sa umocní ich schopnosť manipulovať s nimi a využívať ich.

V tomto kontexte malvér využíva techniku nazývanú „klopanie portov“. To znamená, že rootkit otvorí konkrétny port na infikovanom systéme a čaká v pohotovostnom režime. Po prijatí špecifického signálu alebo „magického paketu“ od aktérov hrozby je možné vytvoriť spojenie medzi napadnutým systémom a serverom Command-and-Control (C2, C&C) útočnej operácie. Rootkit je forma hrozivého softvéru, ktorý je zámerne navrhnutý tak, aby poskytoval zvýšený koreňový prístup k počítaču a súčasne zakrýval jeho prítomnosť. Je pozoruhodné, že od roku 2022 bol Reptile použitý v najmenej štyroch rôznych kampaniach.

Rootkit plazov už využilo niekoľko škodlivých kampaní

V máji 2022 výskumníci zdokumentovali prvý prípad nasadenia Reptile rootkitu, ktorý sa pripisuje súprave prienikov s názvom Earth Berberoka, ktorá je tiež známa ako GamblingPuppet. Počas tohto objavu sa ukázalo, že rootkit bol použitý na maskovanie spojení a procesov spojených s multiplatformovým Python Trojanom, známym ako Pupy RAT . Tieto útoky boli zamerané predovšetkým na webové stránky s hazardnými hrami v Číne.

V marci 2023 sériu útokov zorganizoval podozrivý aktér hrozby známy ako UNC3886, údajne napojený na Čínu. Tieto útoky zarábali na zraniteľnostiach zero-day na distribúciu radu implantátov vyrobených na mieru spolu s rootkitom Reptile.

V tom istom mesiaci bolo používanie linuxového malvéru s názvom Mélofée , odvodeného od Reptile, pripísané čínskej hackerskej skupine. Potom, v júni 2023, kampaň na kryptojacking infikovala zariadenia zadnými vrátkami so skriptom shellu, aby doručila Reptile Rootkit, účinne skryla svoje podriadené procesy, súbory a ich obsah ako súčasť svojich operácií.

Rootkit plazov je vybavený pokročilou sadou hrozivých schopností

Po bližšej analýze Plazy sa objaví charakteristický mechanizmus: komponent nakladača, ktorý funguje v tandeme s nástrojom nazývaným kmatryoshka. Tento zavádzač je zodpovedný za dešifrovanie a načítanie modulu jadra rootkitu do pamäte systému. Následne zavádzač iniciuje otvorenie určeného portu, čím sa dostane do stavu pripravenosti pre útočníka poslať špeciálny signál, označovaný ako magický paket, hostiteľovi pomocou komunikačných protokolov ako TCP, UDP alebo ICMP.

Dáta zapuzdrené v magickom pakete obsahujú dôležité informácie – adresu servera C2. Pomocou týchto informácií sa vytvorí spätný shell, ktorý sa pripojí k serveru C&C. Táto technika spúšťania škodlivých aktivít prostredníctvom magických paketov bola predtým zaznamenaná v inom rootkite s názvom Syslogk. V rovnakom duchu bol v Južnej Kórei zistený podobný scenár útoku zahŕňajúci Reptile rootkit. Útok vykazoval niekoľko taktických podobností s Mélofée.

Stručne povedané, Reptile funguje ako rootkitový malvér v režime jadra Linuxu s primárnou funkciou ukrývania súborov, adresárov, procesov a sieťovej komunikácie. Predstavuje však aj osobitnú schopnosť: poskytovanie spätného obalu. Táto dodatočná vlastnosť robí systémy, v ktorých sa nachádza Reptile Rootkit, potenciálne zraniteľné voči únosu aktérmi hrozby.