Sürüngen Rootkit'i

Tehdit aktörlerinin Güney Kore'deki Linux sistemlerini hedef almak için Reptile adlı açık kaynaklı bir rootkit kullandığı gözlemlendi. Esas olarak etkinlikleri gizlemeye odaklanan geleneksel rootkit kötü amaçlı yazılımının aksine, Reptile bir ters kabuk işlevi sunarak fazladan bir adım atıyor. Bu, kötü niyetli aktörlerin güvenliği ihlal edilmiş sistemler üzerinde doğrudan kontrol elde etmelerini ve böylece onları manipüle etme ve sömürme yeteneklerini artırmalarını sağlar.

Bu bağlamda kötü amaçlı yazılım tarafından 'port knocking' adı verilen bir teknik kullanılmaktadır. Bu, rootkit'in virüs bulaşmış bir sistemde belirli bir bağlantı noktasını açmasını ve bekleme modunda beklemesini içerir. Tehdit aktörlerinden belirli bir sinyal veya 'sihirli paket' alındığında, güvenliği ihlal edilmiş sistem ile saldırı operasyonunun Komuta ve Kontrol (C2, C&C) sunucusu arasında bir bağlantı kurulabilir. Bir rootkit, bir makineye yükseltilmiş, kök düzeyinde erişim sağlamak ve aynı zamanda varlığını gizlemek için kasıtlı olarak tasarlanmış bir tehdit yazılımı biçimidir. Özellikle Reptile, 2022 yılından bu yana en az dört farklı kampanyada kullanıldı.

Birkaç Zararlı Kampanyada Sürüngen Rootkit Kullanıldı

Mayıs 2022'de araştırmacılar, GamblingPuppet olarak da tanınan Earth Berberoka adlı bir saldırı setine atfedilen Reptile rootkit dağıtımının ilk örneğini belgelediler. Bu keşif sırasında, rootkit'in, Pupy RAT olarak bilinen bir çapraz platform Python Truva Atı'na bağlı bağlantıları ve işlemleri gizlemek için kullanıldığı ortaya çıktı. Bu saldırılar öncelikle Çin'de bulunan kumar web sitelerine yönelikti.

Mart 2023'te, Çin ile bağlantılı olduğu bildirilen UNC3886 olarak bilinen şüpheli bir tehdit aktörü tarafından bir dizi saldırı düzenlendi. Bu saldırılar, Reptile rootkit'in yanı sıra bir dizi özel yapım implant dağıtmak için sıfırıncı gün güvenlik açıklarından yararlandı.

Aynı ay içinde, Reptile'den türetilen Mélofée adlı Linux tabanlı bir kötü amaçlı yazılımın kullanımı Çinli bir bilgisayar korsanlığı grubuna atfedildi. Ardından, Haziran 2023'te bir cryptojacking kampanyası, operasyonlarının bir parçası olarak alt işlemlerini, dosyalarını ve içeriklerini etkili bir şekilde gizleyen Reptile Rootkit'i teslim etmek için cihazlara bir kabuk komut dosyası arka kapısı bulaştırdı.

Reptile Rootkit, Gelişmiş Tehdit Yetenekleri Seti ile Donatılmıştır

Reptile'ın daha yakından incelenmesi üzerine, ayırt edici bir mekanizma ortaya çıkıyor: kmatryoshka adlı bir aletle birlikte çalışan bir yükleyici bileşeni. Bu yükleyici, rootkit'in çekirdek modülünün şifresini çözmekten ve sistem belleğine yüklemekten sorumludur. Ardından, yükleyici belirlenmiş bir bağlantı noktasının açılmasını başlatarak, bir saldırganın ana bilgisayara TCP, UDP veya ICMP gibi iletişim protokollerini kullanarak sihirli paket adı verilen özel bir sinyal göndermesi için hazır olma durumuna girer.

Sihirli paket içinde kapsüllenmiş veriler, C2 sunucusunun adresi gibi kritik bilgiler içerir. Bu bilgi kullanılarak, C&C sunucusuna bağlanan bir ters kabuk oluşturulur. Sihirli paketler aracılığıyla kötü amaçlı etkinlikleri tetikleyen bu teknik, daha önce Syslogk adlı başka bir rootkit'te belirtilmişti. Aynı şekilde, Güney Kore'de Reptile rootkit'i içeren benzer bir saldırı senaryosu tespit edildi. Saldırı, Mélofée ile birkaç taktiksel benzerlik sergiledi.

Özetle Reptile, birincil işlevi dosyaları, dizinleri, süreçleri ve ağ iletişimlerini gizleme olan bir Linux çekirdek modu rootkit kötü amaçlı yazılımı olarak işlev görür. Bununla birlikte, aynı zamanda ayırt edici bir yetenek sunar: bir ters kabuğun sağlanması. Bu ek özellik, Reptile Rootkit'i barındıran sistemleri tehdit aktörleri tarafından ele geçirilmeye karşı potansiyel olarak savunmasız hale getirir.