Руткіт Reptile

Було помічено, що зловмисники використовують руткіт із відкритим кодом під назвою Reptile для націлювання на системи Linux у Південній Кореї. На відміну від звичайних зловмисних руткітів, які в основному зосереджуються на приховуванні дій, Reptile робить додатковий крок, пропонуючи функцію зворотної оболонки. Це дозволяє зловмисникам отримати прямий контроль над скомпрометованими системами, тим самим посилюючи їхню здатність маніпулювати ними та використовувати їх.

У цьому контексті зловмисне програмне забезпечення використовує техніку під назвою «пробивання портів». Це означає, що руткіт відкриває певний порт на зараженій системі та чекає в режимі очікування. Після отримання певного сигналу або «магічного пакету» від суб’єктів загрози можна встановити з’єднання між скомпрометованою системою та сервером командування та управління (C2, C&C) операції атаки. Руткіт — це форма загрозливого програмного забезпечення, навмисно створена для надання підвищеного кореневого доступу до машини, одночасно приховуючи його присутність. Примітно, що з 2022 року Reptile використовувався принаймні в чотирьох різних кампаніях.

Кілька шкідливих кампаній уже використовували руткіт Reptile

У травні 2022 року дослідники задокументували перший випадок розгортання руткіта Reptile, пов’язаного з набором вторгнень під назвою Earth Berberoka, також визнаним як GamblingPuppet. Під час цього відкриття було виявлено, що руткіт використовувався для маскування з’єднань і процесів, пов’язаних із кросплатформним трояном Python, відомим як Pupy RAT . Ці атаки були в основному спрямовані на веб-сайти азартних ігор, розташовані в Китаї.

У березні 2023 року серію атак організував підозрюваний загрозник, відомий як UNC3886, імовірно пов’язаний з Китаєм. Ці атаки використовували вразливості нульового дня для розповсюдження ряду спеціально виготовлених імплантатів разом із руткітом Reptile.

У тому ж місяці китайська хакерська група приписала використання шкідливого програмного забезпечення Mélofée на основі Linux, похідного від Reptile. Потім, у червні 2023 року, кампанія криптозлому інфікувала пристрої бекдором сценарію оболонки для доставки Reptile Rootkit, фактично приховуючи його дочірні процеси, файли та їхній вміст у рамках своїх операцій.

Руткіт Reptile оснащено розширеним набором загрозливих можливостей

При детальнішому аналізі Reptile виявляється особливий механізм: компонент завантажувача, який працює в парі з інструментом під назвою kmatryoshka. Цей завантажувач відповідає за розшифровку та завантаження модуля ядра руткіта в пам'ять системи. Згодом завантажувач ініціює відкриття призначеного порту, переходячи в стан готовності для того, щоб зловмисник надіслав спеціальний сигнал, званий магічним пакетом, на хост за допомогою протоколів зв’язку, таких як TCP, UDP або ICMP.

Дані, інкапсульовані в магічний пакет, містять важливу інформацію — адресу сервера C2. Використовуючи цю інформацію, встановлюється зворотна оболонка, яка підключається до C&C-сервера. Ця техніка ініціювання зловмисних дій за допомогою магічних пакетів була раніше помічена в іншому руткіті під назвою Syslogk. Подібний сценарій атаки із застосуванням руткіта Reptile був виявлений у Південній Кореї. Атака виявила кілька тактичних подібностей до Mélofée.

Підсумовуючи, Reptile функціонує як зловмисне руткітне програмне забезпечення в режимі ядра Linux, головною функцією якого є приховування файлів, каталогів, процесів і мережевих комунікацій. Тим не менш, він також має відмінну здатність: забезпечення реверсивної оболонки. Ця додаткова властивість робить системи, що містять Reptile Rootkit, потенційно вразливими до викрадення загрозливими особами.