爬虫 Rootkit

据观察，威胁行为者使用名为 Reptile 的开源 Rootkit 来攻击韩国的 Linux 系统。与主要关注隐藏活动的传统 Rootkit 恶意软件不同，Reptile 采取了额外的措施，提供反向 shell 功能。这使得邪恶的行为者能够直接控制受感染的系统，从而增强他们操纵和利用这些系统的能力。

在这种情况下，恶意软件采用了一种称为“端口敲门”的技术。这涉及 Rootkit 在受感染系统上打开特定端口并在待机模式下等待。在收到来自威胁行为者的特定信号或“魔法数据包”后，可以在受感染的系统和攻击操作的命令与控制（C2、C&C）服务器之间建立连接。 Rootkit 是一种威胁软件，经过精心设计，旨在提供对计算机的提升的根级别访问权限，同时混淆其存在。值得注意的是，自 2022 年以来，Reptile 已在至少四次不同的活动中使用。

一些有害活动已经使用了 Reptile Rootkit

2022 年 5 月，研究人员记录了第一个 Reptile Rootkit 部署实例，归因于名为 Earth Berberoka（也被称为 GamblingPuppet）的入侵集。在此发现过程中，我们发现该 rootkit 被用来隐藏与跨平台 Python 木马（称为Pupy RAT ）相关的连接和进程。这些攻击主要针对位于中国的赌博网站。

2023 年 3 月，疑似威胁组织 UNC3886 策划了一系列攻击，据报道与中国有关。这些攻击利用零日漏洞来分发一系列定制植入程序以及 Reptile Rootkit。

同月内，源自 Reptile 的名为Mélofée的基于 Linux 的恶意软件的使用被归咎于中国黑客组织。然后，在 2023 年 6 月，加密劫持活动通过 shell 脚本后门感染了设备，以传播 Reptile Rootkit，作为其操作的一部分，有效隐藏其子进程、文件及其内容。

Reptile Rootkit 配备了一组先进的威胁功能

经过对 Reptile 的仔细分析，出现了一种独特的机制：一个与名为 kmatryoshka 的工具协同运行的加载器组件。该加载程序负责解密 rootkit 的内核模块并将其加载到系统内存中。随后，加载程序启动指定端口的打开，进入准备状态，攻击者可以使用 TCP、UDP 或 ICMP 等通信协议向主机发送特殊信号（称为魔术数据包）。

封装在魔包中的数据包含关键信息——C2 服务器的地址。利用此信息，建立一个反向 shell，连接到 C&C 服务器。这种通过魔法数据包触发恶意活动的技术之前已在另一个名为 Syslogk 的 Rootkit 中注意到。同样，在韩国也发现了涉及 Reptile Rootkit 的类似攻击场景。这次袭击在战术上与梅洛菲有很多相似之处。

总之，Reptile 充当 Linux 内核模式 Rootkit 恶意软件，其主要功能是隐藏文件、目录、进程和网络通信。然而，它还提供了一个独特的功能：提供反向 shell。这一额外特征使得隐藏 Reptile Rootkit 的系统可能容易受到威胁行为者的劫持。