సరీసృపాలు రూట్కిట్
దక్షిణ కొరియాలో Linux సిస్టమ్లను లక్ష్యంగా చేసుకోవడానికి సరీసృపాలు అనే ఓపెన్ సోర్స్ రూట్కిట్ను ఉపయోగించడాన్ని బెదిరింపు నటులు గమనించారు. సాంప్రదాయిక రూట్కిట్ మాల్వేర్ కాకుండా, ప్రాథమికంగా కార్యకలాపాలను దాచడంపై దృష్టి పెడుతుంది, రివర్స్ షెల్ కార్యాచరణను అందించడం ద్వారా సరీసృపాలు అదనపు అడుగు వేస్తుంది. ఇది దుష్ట మనస్తత్వం గల నటులు రాజీపడే వ్యవస్థలపై ప్రత్యక్ష నియంత్రణను పొందేలా చేస్తుంది, తద్వారా వాటిని తారుమారు చేసే మరియు దోపిడీ చేసే వారి సామర్థ్యాన్ని పెంచుతుంది.
ఈ సందర్భంలో, మాల్వేర్ ద్వారా 'పోర్ట్ నాకింగ్' అనే సాంకేతికతను ఉపయోగించారు. సోకిన సిస్టమ్లో రూట్కిట్ నిర్దిష్ట పోర్ట్ను తెరవడం మరియు స్టాండ్బై మోడ్లో వేచి ఉండటం ఇందులో ఉంటుంది. బెదిరింపు నటుల నుండి నిర్దిష్ట సిగ్నల్ లేదా 'మ్యాజిక్ ప్యాకెట్' స్వీకరించిన తర్వాత, రాజీపడిన సిస్టమ్ మరియు దాడి ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్ మధ్య కనెక్షన్ ఏర్పడుతుంది. రూట్కిట్ అనేది ఒక మెషీన్ ఉనికిని అస్పష్టం చేస్తూనే ఒక మెషీన్కు ఎలివేటెడ్, రూట్-లెవల్ యాక్సెస్ను అందించడానికి ఉద్దేశపూర్వకంగా రూపొందించబడిన బెదిరింపు సాఫ్ట్వేర్ యొక్క ఒక రూపం. ముఖ్యంగా, సరీసృపాలు 2022 సంవత్సరం నుండి కనీసం నాలుగు విభిన్న ప్రచారాలలో ఉపయోగించబడుతున్నాయి.
అనేక హానికరమైన ప్రచారాలు ఇప్పటికే సరీసృపాలు రూట్కిట్ను ఉపయోగించాయి
మే 2022లో, పరిశోధకులు సరీసృపాల రూట్కిట్ విస్తరణ యొక్క మొదటి ఉదాహరణను డాక్యుమెంట్ చేసారు, ఇది ఎర్త్ బెర్బెరోకా అని పిలువబడే చొరబాటు సెట్కు ఆపాదించబడింది, దీనిని గ్యాంబ్లింగ్పప్పెట్గా కూడా గుర్తించారు. ఈ ఆవిష్కరణ సమయంలో, ప్యూపీ RAT అని పిలువబడే క్రాస్-ప్లాట్ఫారమ్ పైథాన్ ట్రోజన్తో అనుసంధానించబడిన కనెక్షన్లు మరియు ప్రక్రియలను క్లోక్ చేయడానికి రూట్కిట్ ఉపయోగించబడిందని వెల్లడైంది. ఈ దాడులు ప్రధానంగా చైనాలో ఉన్న జూదం వెబ్సైట్లను లక్ష్యంగా చేసుకున్నాయి.
మార్చి 2023లో, చైనాతో ముడిపడి ఉన్న UNC3886 అనే అనుమానిత ముప్పు నటుడిచే వరుస దాడులు జరిగాయి. ఈ దాడులు సరీసృపాలు రూట్కిట్తో పాటు కస్టమ్-మేడ్ ఇంప్లాంట్ల శ్రేణిని పంపిణీ చేయడానికి జీరో-డే దుర్బలత్వాన్ని ఉపయోగించుకున్నాయి.
అదే నెలలో, సరీసృపాల నుండి తీసుకోబడిన Mélofée అనే Linux-ఆధారిత మాల్వేర్ వినియోగం చైనీస్ హ్యాకింగ్ గ్రూప్కు ఆపాదించబడింది. తర్వాత, జూన్ 2023లో, క్రిప్టోజాకింగ్ ప్రచారం రెప్టైల్ రూట్కిట్ను డెలివరీ చేయడానికి షెల్ స్క్రిప్ట్ బ్యాక్డోర్తో పరికరాలను సోకింది, దాని ఆపరేషన్లలో భాగంగా దాని చైల్డ్ ప్రాసెస్లు, ఫైల్లు మరియు వాటి కంటెంట్ను సమర్థవంతంగా దాచిపెట్టింది.
సరీసృపాల రూట్కిట్లో బెదిరింపు సామర్థ్యాల యొక్క అధునాతన సెట్ను అమర్చారు
సరీసృపాల యొక్క నిశిత విశ్లేషణపై, ఒక విలక్షణమైన యంత్రాంగం ఉద్భవించింది: kmatryoshka అని పిలువబడే సాధనంతో కలిసి పనిచేసే లోడర్ భాగం. రూట్కిట్ కెర్నల్ మాడ్యూల్ను సిస్టమ్ మెమరీలోకి డీక్రిప్ట్ చేయడానికి మరియు లోడ్ చేయడానికి ఈ లోడర్ బాధ్యత వహిస్తుంది. తదనంతరం, TCP, UDP లేదా ICMP వంటి కమ్యూనికేషన్ ప్రోటోకాల్లను ఉపయోగించి హోస్ట్కు మ్యాజిక్ ప్యాకెట్గా సూచించబడే ప్రత్యేక సిగ్నల్ను పంపడానికి దాడి చేసే వ్యక్తి సంసిద్ధ స్థితిలోకి ప్రవేశించడం ద్వారా, లోడర్ నియమించబడిన పోర్ట్ను తెరవడాన్ని ప్రారంభిస్తుంది.
మ్యాజిక్ ప్యాకెట్లో సంగ్రహించబడిన డేటా క్లిష్టమైన సమాచారాన్ని కలిగి ఉంది-C2 సర్వర్ చిరునామా. ఈ సమాచారాన్ని ఉపయోగించి, C&C సర్వర్కు కనెక్ట్ చేస్తూ రివర్స్ షెల్ ఏర్పాటు చేయబడింది. మ్యాజిక్ ప్యాకెట్ల ద్వారా హానికరమైన కార్యకలాపాలను ప్రేరేపించే ఈ సాంకేతికత గతంలో Syslogk అనే మరో రూట్కిట్లో గుర్తించబడింది. అదే పంథాలో, దక్షిణ కొరియాలో రెప్టైల్ రూట్కిట్తో కూడిన ఇలాంటి దాడి దృశ్యం కనుగొనబడింది. ఈ దాడి మెలోఫీకి అనేక వ్యూహాత్మక పోలికలను ప్రదర్శించింది.
సారాంశంలో, సరీసృపాలు లైనక్స్ కెర్నల్ మోడ్ రూట్కిట్ మాల్వేర్గా ఫైల్లు, డైరెక్టరీలు, ప్రాసెస్లు మరియు నెట్వర్క్ కమ్యూనికేషన్లను దాచిపెట్టే ప్రాథమిక విధిగా పనిచేస్తాయి. అయినప్పటికీ, ఇది ఒక విలక్షణమైన సామర్థ్యాన్ని కూడా అందిస్తుంది: రివర్స్ షెల్ యొక్క సదుపాయం. ఈ అదనపు లక్షణం రెప్టైల్ రూట్కిట్ను ఆశ్రయించే సిస్టమ్లను బెదిరింపు నటుల హైజాకింగ్కు గురయ్యే అవకాశం ఉంది.