Рептиле Рооткит

Уочени су актери претњи који користе руткит отвореног кода под називом Рептиле за циљање Линук система у Јужној Кореји. За разлику од конвенционалног руткит малвера који се првенствено фокусира на прикривање активности, Рептиле чини додатни корак нудећи функционалност обрнуте шкољке. Ово омогућава злонамерним актерима да стекну директну контролу над компромитованим системима, чиме се повећава њихова способност да манипулишу и искоришћавају их.

У овом контексту, малвер користи технику која се зове „куцање порта“. Ово укључује руткит који отвара одређени порт на зараженом систему и чека у режиму приправности. По пријему одређеног сигнала или 'магијског пакета' од актера претње, може се успоставити веза између компромитованог система и командно-контролног (Ц2, Ц&Ц) сервера операције напада. Руткит је облик претећег софтвера који је намерно конструисан да обезбеди повећани приступ на роот нивоу машини док истовремено прикрива њено присуство. Значајно је да је Рептиле коришћен у најмање четири различите кампање од 2022.

Неколико штетних кампања је већ користило Рептиле Рооткит

У мају 2022. истраживачи су документовали прву инстанцу примене рооткита Рептиле, који се приписује скупу за упад под називом Еартх Берберока, такође препознатом као ГамблингПуппет. Током овог открића, откривено је да је рооткит коришћен за прикривање веза и процеса повезаних са вишеплатформским Питхон тројанцем, познатим као Пупи РАТ . Ови напади су првенствено били усмерени на веб локације за коцкање које се налазе у Кини.

У марту 2023. године, серију напада оркестрирао је осумњичени актер претњи познат као УНЦ3886, наводно повезан са Кином. Ови напади су искористили рањивости нултог дана како би дистрибуирали низ прилагођених имплантата, заједно са рооткитом Рептиле.

У истом месецу, кинеској хакерској групи приписано је коришћење злонамерног софтвера заснованог на Линук-у по имену Мелофее , који потиче од Рептиле. Затим, у јуну 2023., кампања криптоџацкинга заразила је уређаје са бацкдоор-ом схелл скрипте за испоруку Рептиле Рооткит-а, ефективно сакривајући његове подређене процесе, датотеке и њихов садржај као део својих операција.

Рептиле Рооткит је опремљен напредним скупом претећих могућности

Након детаљније анализе Рептила, појављује се карактеристичан механизам: компонента пуњача која ради у тандему са алатом званим кматрјошка. Овај учитавач је одговоран за дешифровање и учитавање модула кернела рооткита у системску меморију. Након тога, учитавач иницира отварање одређеног порта, улазећи у стање спремности да нападач пошаље посебан сигнал, који се назива магични пакет, домаћину користећи комуникационе протоколе као што су ТЦП, УДП или ИЦМП.

Подаци инкапсулирани у магичном пакету садрже критичне информације—адресу Ц2 сервера. Користећи ове информације, успоставља се реверзна љуска која се повезује са Ц&Ц сервером. Ова техника покретања злонамерних активности путем магичних пакета је раније забележена у другом руткиту под називом Сислогк. У истом духу, сличан сценарио напада који укључује рооткит Рептиле откривен је у Јужној Кореји. Напад је показао неколико тактичких сличности са Мелофееом.

Укратко, Рептиле функционише као руткит малвер у режиму језгра Линук-а са примарном функцијом прикривања датотека, директоријума, процеса и мрежних комуникација. Ипак, он такође представља карактеристичну способност: пружање обрнуте шкољке. Ова додатна особина чини системе који садрже Рептиле Рооткит потенцијално рањивим на отмицу од стране актера претњи.