Rootkit สัตว์เลื้อยคลาน

มีการสังเกตว่าผู้คุกคามใช้รูทคิทโอเพ่นซอร์สชื่อ Reptile เพื่อกำหนดเป้าหมายระบบ Linux ในเกาหลีใต้ ซึ่งแตกต่างจากมัลแวร์รูทคิททั่วไปที่เน้นการปกปิดกิจกรรมเป็นหลัก Reptile ใช้ขั้นตอนเพิ่มเติมโดยนำเสนอฟังก์ชันการทำงานแบบย้อนกลับ สิ่งนี้ทำให้ผู้กระทำการที่มีจิตใจชั่วร้ายสามารถควบคุมระบบที่ถูกบุกรุกได้โดยตรง ซึ่งจะเป็นการเพิ่มขีดความสามารถในการจัดการและใช้ประโยชน์จากระบบเหล่านั้น

ในบริบทนี้ มัลแวร์จะใช้เทคนิคที่เรียกว่า 'การเคาะพอร์ต' สิ่งนี้เกี่ยวข้องกับรูทคิทที่เปิดพอร์ตเฉพาะบนระบบที่ติดไวรัสและรออยู่ในโหมดสแตนด์บาย เมื่อได้รับสัญญาณเฉพาะหรือ 'แพ็กเก็ตเวทมนตร์' จากผู้คุกคาม การเชื่อมต่อจะสามารถสร้างขึ้นระหว่างระบบที่ถูกบุกรุกและเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ของการดำเนินการโจมตี รูทคิทเป็นรูปแบบหนึ่งของซอฟต์แวร์คุกคามที่ได้รับการออกแบบทางวิศวกรรมโดยเจตนาเพื่อให้สามารถเข้าถึงเครื่องระดับรูทที่ยกระดับขึ้น ในขณะที่ทำให้การมีอยู่ของมันยุ่งเหยิงไปพร้อม ๆ กัน โดยเฉพาะอย่างยิ่ง Reptile ถูกนำมาใช้ในแคมเปญที่แตกต่างกันอย่างน้อยสี่แคมเปญตั้งแต่ปี 2022

แคมเปญที่เป็นอันตรายหลายรายการใช้ Rootkit ของสัตว์เลื้อยคลานแล้ว

ในเดือนพฤษภาคม พ.ศ. 2565 นักวิจัยได้บันทึกตัวอย่างแรกของการติดตั้งรูทคิทของ Reptile ซึ่งเกิดจากชุดการบุกรุกที่เรียกว่า Earth Berberoka หรือที่รู้จักในชื่อ GamblingPuppet ในระหว่างการค้นพบนี้ มีการเปิดเผยว่ารูทคิทถูกใช้เพื่อปกปิดการเชื่อมต่อและกระบวนการที่เชื่อมโยงกับโทรจัน Python ข้ามแพลตฟอร์ม ซึ่งรู้จักกันในชื่อ Pupy RAT การโจมตีเหล่านี้มุ่งเป้าไปที่เว็บไซต์การพนันที่ตั้งอยู่ในประเทศจีนเป็นหลัก

ในเดือนมีนาคม พ.ศ. 2566 มีการโจมตีหลายครั้งโดยผู้ก่อภัยคุกคามที่น่าสงสัยว่า UNC3886 ซึ่งมีรายงานว่าเชื่อมโยงกับจีน การโจมตีเหล่านี้ใช้ประโยชน์จากช่องโหว่แบบ Zero-day เพื่อแจกจ่ายชุดรากเทียมที่สร้างขึ้นเอง ควบคู่ไปกับรูทคิทของ Reptile

ภายในเดือนเดียวกัน การใช้มัลแวร์บน Linux ชื่อ Mélofée ซึ่งได้มาจาก Reptile มีสาเหตุมาจากกลุ่มแฮ็คชาวจีน จากนั้นในเดือนมิถุนายน พ.ศ. 2566 แคมเปญ cryptojacking ได้ทำการโจมตีอุปกรณ์ด้วยเชลล์สคริปต์แบ็คดอร์เพื่อส่งมอบ Reptile Rootkit ซึ่งปกปิดกระบวนการย่อย ไฟล์ และเนื้อหาของมันอย่างมีประสิทธิภาพซึ่งเป็นส่วนหนึ่งของการดำเนินงาน

รูทคิทของสัตว์เลื้อยคลานมาพร้อมกับชุดความสามารถในการคุกคามขั้นสูง

เมื่อวิเคราะห์สัตว์เลื้อยคลานอย่างใกล้ชิด กลไกที่โดดเด่นก็ปรากฏขึ้น: ส่วนประกอบตัวโหลดที่ทำงานควบคู่กับเครื่องมือที่เรียกว่า kmatryoshka ตัวโหลดนี้รับผิดชอบในการถอดรหัสและโหลดโมดูลเคอร์เนลของรูทคิทลงในหน่วยความจำของระบบ ต่อจากนั้น ตัวโหลดจะเริ่มเปิดพอร์ตที่กำหนด เข้าสู่สถานะพร้อมให้ผู้โจมตีส่งสัญญาณพิเศษที่เรียกว่าเมจิกแพ็กเก็ตไปยังโฮสต์โดยใช้โปรโตคอลการสื่อสาร เช่น TCP, UDP หรือ ICMP

ข้อมูลที่ห่อหุ้มภายในเมจิกแพ็กเก็ตประกอบด้วยข้อมูลสำคัญ—ที่อยู่ของเซิร์ฟเวอร์ C2 เมื่อใช้ข้อมูลนี้ จะสร้างเปลือกย้อนกลับขึ้น โดยเชื่อมต่อกับเซิร์ฟเวอร์ C&C เทคนิคการกระตุ้นกิจกรรมที่เป็นอันตรายผ่านเมจิกแพ็กเก็ตนี้ได้รับการบันทึกไว้ก่อนหน้านี้ในรูทคิตอื่นที่ชื่อว่า Syslogk ในแนวทางเดียวกัน มีการตรวจพบสถานการณ์การโจมตีที่คล้ายกันที่เกี่ยวข้องกับรูทคิทของสัตว์เลื้อยคลานในเกาหลีใต้ การโจมตีแสดงยุทธวิธีหลายอย่างที่คล้ายคลึงกับเมโลฟี

โดยสรุป Reptile ทำหน้าที่เป็นมัลแวร์รูทคิทโหมดเคอร์เนลของ Linux โดยมีหน้าที่หลักในการปกปิดไฟล์ ไดเร็กทอรี กระบวนการ และการสื่อสารผ่านเครือข่าย อย่างไรก็ตาม มันยังนำเสนอความสามารถที่โดดเด่น: การจัดหาเปลือกย้อนกลับ ลักษณะเพิ่มเติมนี้ทำให้ระบบที่เก็บ Reptile Rootkit เสี่ยงต่อการถูกแย่งชิงโดยผู้คุกคาม