Reptile Rootkit

Napagmasdan ang mga aktor ng pagbabanta na gumagamit ng open-source rootkit na pinangalanang Reptile upang i-target ang mga Linux system sa South Korea. Hindi tulad ng karaniwang rootkit malware na pangunahing nakatuon sa pagtatago ng mga aktibidad, ang Reptile ay gumagawa ng karagdagang hakbang sa pamamagitan ng pag-aalok ng reverse shell functionality. Binibigyang-daan nito ang mga masasamang pag-iisip na aktor na magkaroon ng direktang kontrol sa mga nakompromisong sistema, sa gayon ay pinalalakas ang kanilang kakayahang manipulahin at pagsamantalahan ang mga ito.

Sa kontekstong ito, ang isang pamamaraan na tinatawag na 'port knocking' ay ginagamit ng malware. Kabilang dito ang rootkit na nagbukas ng isang partikular na port sa isang nahawaang sistema at naghihintay sa standby mode. Sa pagtanggap ng isang partikular na signal o 'magic packet' mula sa mga aktor ng pagbabanta, maaaring magkaroon ng koneksyon sa pagitan ng nakompromisong system at ng Command-and-Control (C2, C&C) server ng operasyon ng pag-atake. Ang rootkit ay isang anyo ng nagbabantang software na sadyang ginawa upang makapaghatid ng mataas, root-level na access sa isang makina habang kasabay na ikinukubli ang presensya nito. Kapansin-pansin, ang Reptile ay ginamit sa hindi bababa sa apat na natatanging kampanya mula noong taong 2022.

Ilang Mapanganib na Kampanya ang Gumagamit Na ng Reptile Rootkit

Noong Mayo 2022, naidokumento ng mga mananaliksik ang unang pagkakataon ng deployment ng Reptile rootkit, na nauugnay sa isang intrusion set na tinatawag na Earth Berberoka, na kinikilala rin bilang GamblingPuppet. Sa panahon ng pagtuklas na ito, ipinahayag na ang rootkit ay ginamit upang i-cloak ang mga koneksyon at mga prosesong naka-link sa isang cross-platform na Python Trojan, na kilala bilang Pupy RAT . Ang mga pag-atake na ito ay pangunahing nakadirekta sa mga website ng pagsusugal na matatagpuan sa China.

Noong Marso 2023, isang serye ng mga pag-atake ang inayos ng isang pinaghihinalaang aktor ng pagbabanta na kilala bilang UNC3886, na iniulat na nauugnay sa China. Ang mga pag-atakeng ito ay nag-capitalize sa zero-day na mga kahinaan upang ipamahagi ang isang hanay ng mga custom-made na implant, kasama ang Reptile rootkit.

Sa loob ng parehong buwan, ang paggamit ng malware na nakabase sa Linux na pinangalanang Mélofée , na nagmula sa Reptile, ay naiugnay sa isang Chinese hacking group. Pagkatapos, noong Hunyo 2023, isang cryptojacking campaign ang nag-infect ng mga device na may shell script sa backdoor para ihatid ang Reptile Rootkit, na epektibong itinatago ang mga proseso, file, at content ng mga bata nito bilang bahagi ng mga operasyon nito.

Ang Reptile Rootkit ay Nilagyan ng Advanced na Set ng Mga Kakayahang Pagbabanta

Sa mas malapit na pagsusuri sa Reptile, lumitaw ang isang natatanging mekanismo: isang bahagi ng loader na gumagana kasabay ng isang tool na tinatawag na kmatryoshka. Ang loader na ito ay may pananagutan sa pag-decryption at pag-load ng kernel module ng rootkit sa memorya ng system. Kasunod nito, sinisimulan ng loader ang pagbubukas ng isang itinalagang port, na pumapasok sa isang estado ng kahandaan para sa isang umaatake na magpadala ng isang espesyal na signal, na tinutukoy bilang isang magic packet, sa host gamit ang mga protocol ng komunikasyon tulad ng TCP, UDP o ICMP.

Ang data na naka-encapsulate sa loob ng magic packet ay naglalaman ng kritikal na impormasyon—ang address ng C2 server. Gamit ang impormasyong ito, isang reverse shell ay itinatag, na kumukonekta sa C&C server. Ang pamamaraang ito ng pag-trigger ng mga malisyosong aktibidad sa pamamagitan ng mga magic packet ay dati nang nabanggit sa isa pang rootkit na pinangalanang Syslogk. Sa parehong ugat, isang katulad na senaryo ng pag-atake na kinasasangkutan ng Reptile rootkit ay nakita sa South Korea. Ang pag-atake ay nagpakita ng ilang mga taktikal na pagkakahawig sa Mélofée.

Sa buod, gumaganap ang Reptile bilang isang Linux kernel mode rootkit malware na may pangunahing function ng pagtatago ng mga file, direktoryo, proseso, at komunikasyon sa network. Gayunpaman, ito rin ay nagpapakita ng isang natatanging kakayahan: ang pagkakaloob ng isang reverse shell. Ang karagdagang katangiang ito ay nagre-render sa mga system na nagtatago sa Reptile Rootkit na posibleng masugatan sa pag-hijack ng mga aktor ng pagbabanta.