Reptile Rootkit

Aktorët e kërcënimit janë vërejtur duke përdorur një rootkit me burim të hapur të quajtur Reptile për të synuar sistemet Linux në Korenë e Jugut. Ndryshe nga programet keqdashëse konvencionale të rootkit që kryesisht fokusohen në fshehjen e aktiviteteve, Reptile ndërmerr një hap shtesë duke ofruar një funksionalitet të kundërt të guaskës. Kjo u mundëson aktorëve me mendje të liga të fitojnë kontroll të drejtpërdrejtë mbi sistemet e komprometuara, duke përforcuar kështu aftësinë e tyre për t'i manipuluar dhe shfrytëzuar ato.

Në këtë kontekst, një teknikë e quajtur 'trokitje e portit' përdoret nga malware. Kjo përfshin rootkit hapjen e një porti specifik në një sistem të infektuar dhe pritjen në modalitetin e gatishmërisë. Me marrjen e një sinjali specifik ose 'paketë magjike' nga aktorët e kërcënimit, mund të krijohet një lidhje midis sistemit të komprometuar dhe serverit Command-and-Control (C2, C&C) të operacionit të sulmit. Një rootkit është një formë e softuerit kërcënues, i projektuar qëllimisht për të ofruar akses të ngritur, në nivel rrënjë në një makinë, ndërkohë që errëson njëkohësisht praninë e saj. Veçanërisht, Reptile është përdorur në të paktën katër fushata të ndryshme që nga viti 2022.

Disa fushata të dëmshme kanë përdorur tashmë pajisjen rrënjësore të zvarranikëve

Në maj të vitit 2022, studiuesit dokumentuan shembullin e parë të vendosjes së rootkit Reptile, që i atribuohet një grupi ndërhyrjesh të quajtur Earth Berberoka, i njohur gjithashtu si Kukulla e Gambling. Gjatë këtij zbulimi, u zbulua se rootkit u përdor për të mbuluar lidhjet dhe proceset e lidhura me një Trojan Python ndër-platformë, i njohur si Pupy RAT . Këto sulme ishin drejtuar kryesisht në faqet e internetit të lojërave të fatit të vendosura në Kinë.

Në mars të vitit 2023, një seri sulmesh u orkestruan nga një aktor i dyshuar kërcënimi i njohur si UNC3886, që thuhet se ishte i lidhur me Kinën. Këto sulme përdorën dobësitë e ditës zero për të shpërndarë një sërë implantesh të bëra me porosi, së bashku me rootkit-in Reptile.

Brenda të njëjtit muaj, përdorimi i një malware me bazë Linux të quajtur Mélofée , që rrjedh nga Reptile, iu atribuua një grupi hakerimi kinez. Më pas, në qershor 2023, një fushatë kriptojacking infektoi pajisjet me një derë të pasme të skriptit të guaskës për të ofruar Reptile Rootkit, duke fshehur në mënyrë efektive proceset, skedarët dhe përmbajtjen e tyre të fëmijëve si pjesë e operacioneve të tij.

Rootkit-i i zvarranikëve është i pajisur me një grup të avancuar të aftësive kërcënuese

Pas analizës më të afërt të Reptile, shfaqet një mekanizëm dallues: një komponent ngarkues që funksionon së bashku me një mjet të quajtur kmatryoshka. Ky ngarkues është përgjegjës për deshifrimin dhe ngarkimin e modulit të kernelit të rootkit në memorien e sistemit. Më pas, ngarkuesi fillon hapjen e një porti të caktuar, duke hyrë në një gjendje gatishmërie që një sulmues të dërgojë një sinjal të veçantë, të referuar si një paketë magjike, te hosti duke përdorur protokolle komunikimi si TCP, UDP ose ICMP.

Të dhënat e kapsuluara brenda paketës magjike përmbajnë informacion kritik - adresën e serverit C2. Duke përdorur këtë informacion, krijohet një guaskë e kundërt, e cila lidhet me serverin C&C. Kjo teknikë e nxitjes së aktiviteteve me qëllim të keq nëpërmjet paketave magjike është vërejtur më parë në një rootkit tjetër të quajtur Syslogk. Në të njëjtën mënyrë, një skenar i ngjashëm sulmi që përfshin rootkit Reptile u zbulua në Korenë e Jugut. Sulmi shfaqi disa ngjashmëri taktike me Mélofée.

Në përmbledhje, Reptile funksionon si një program keqdashës rootkit i modalitetit të kernelit Linux me një funksion kryesor të fshehjes së skedarëve, drejtorive, proceseve dhe komunikimeve në rrjet. Sidoqoftë, ai gjithashtu paraqet një aftësi dalluese: sigurimin e një guaskë të kundërt. Ky tipar shtesë i bën sistemet që strehojnë Reptile Rootkit potencialisht të cenueshëm ndaj rrëmbimit nga aktorët e kërcënimit.