Reptil Rootkit

Hotaktörer har observerats använda ett rootkit med öppen källkod som heter Reptile för att rikta in sig på Linux-system i Sydkorea. Till skillnad från konventionell rootkit-skadlig kod som främst fokuserar på att dölja aktiviteter, tar Reptile ett extra steg genom att erbjuda en omvänd skalfunktion. Detta gör det möjligt för elaksinnade aktörer att få direkt kontroll över komprometterade system, och därigenom förstärka deras förmåga att manipulera och utnyttja dem.

I detta sammanhang används en teknik som kallas "port knocking" av skadlig programvara. Detta innebär att rootkitet öppnar en specifik port på ett infekterat system och väntar i vänteläge. Vid mottagande av en specifik signal eller "magiskt paket" från hotaktörerna kan en anslutning upprättas mellan det komprometterade systemet och kommando-och-kontroll-servern (C2, C&C) för attackoperationen. Ett rootkit är en form av hotfull programvara som medvetet konstruerats för att ge förhöjd åtkomst på rotnivå till en maskin samtidigt som den fördunklar dess närvaro. Noterbart har Reptile använts i minst fyra distinkta kampanjer sedan år 2022.

Flera skadliga kampanjer har redan använt reptilrotsatsen

I maj 2022 dokumenterade forskare den första instansen av Reptile rootkit-utbyggnaden, tillskriven en intrångsuppsättning kallad Earth Berberoka, även känd som GamblingPuppet. Under denna upptäckt avslöjades det att rootkitet användes för att dölja anslutningar och processer kopplade till en plattformsoberoende Python-trojan, känd som Pupy RAT . Dessa attacker var främst riktade mot spelwebbplatser i Kina.

I mars 2023 orkestrerades en serie attacker av en misstänkt hotaktör känd som UNC3886, enligt uppgift kopplad till Kina. Dessa attacker utnyttjade nolldagars sårbarheter för att distribuera en rad skräddarsydda implantat, tillsammans med Reptile rootkit.

Inom samma månad tillskrevs användningen av en Linux-baserad skadlig programvara som heter Mélofée , härledd från Reptile, till en kinesisk hackningsgrupp. Sedan, i juni 2023, infekterade en kryptojackningskampanj enheter med en bakdörr för skalskript för att leverera Reptile Rootkit, vilket effektivt döljer dess underordnade processer, filer och deras innehåll som en del av dess verksamhet.

Reptilrotsatsen är utrustad med en avancerad uppsättning hotfulla funktioner

Vid närmare analys av Reptile framträder en distinkt mekanism: en lastarkomponent som fungerar tillsammans med ett verktyg som kallas kmatryoshka. Den här laddaren är ansvarig för att dekryptera och ladda rootkitets kärnmodul i systemets minne. Därefter initierar laddaren öppningen av en angiven port och går in i ett tillstånd av beredskap för en angripare att skicka en speciell signal, kallad ett magiskt paket, till värden med hjälp av kommunikationsprotokoll som TCP, UDP eller ICMP.

Datan som är inkapslad i det magiska paketet innehåller kritisk information – adressen till C2-servern. Genom att använda denna information upprättas ett omvänt skal som ansluter till C&C-servern. Denna teknik för att utlösa skadliga aktiviteter via magiska paket har tidigare noterats i ett annat rootkit som heter Syslogk. I samma veva upptäcktes ett liknande attackscenario som involverade Reptile rootkit i Sydkorea. Attacken visade flera taktiska likheter med Mélofée.

Sammanfattningsvis fungerar Reptile som en Linux-kärnläge rootkit malware med en primär funktion att dölja filer, kataloger, processer och nätverkskommunikation. Ändå uppvisar den också en distinkt förmåga: tillhandahållandet av ett omvänt skal. Denna ytterligare egenskap gör system som hyser reptilrotsatsen potentiellt sårbara för kapning av hotaktörer.