爬蟲 Rootkit

據觀察，威脅行為者使用名為 Reptile 的開源 Rootkit 來攻擊韓國的 Linux 系統。與主要關注隱藏活動的傳統 Rootkit 惡意軟件不同，Reptile 採取了額外的措施，提供反向 shell 功能。這使得邪惡的行為者能夠直接控制受感染的系統，從而增強他們操縱和利用這些系統的能力。

在這種情況下，惡意軟件採用了一種稱為“端口敲門”的技術。這涉及 Rootkit 在受感染系統上打開特定端口並在待機模式下等待。在收到來自威脅行為者的特定信號或“魔法數據包”後，可以在受感染的系統和攻擊操作的命令與控制（C2、C&C）服務器之間建立連接。 Rootkit 是一種威脅軟件，經過精心設計，旨在提供對計算機的提升的根級別訪問權限，同時混淆其存在。值得注意的是，自 2022 年以來，Reptile 已在至少四次不同的活動中使用。

一些有害活動已經使用了 Reptile Rootkit

2022 年 5 月，研究人員記錄了第一個 Reptile Rootkit 部署實例，歸因於名為 Earth Berberoka（也被稱為 GamblingPuppet）的入侵集。在此發現過程中，我們發現該 rootkit 被用來隱藏與跨平台 Python 木馬（稱為Pupy RAT ）相關的連接和進程。這些攻擊主要針對位於中國的賭博網站。

2023 年 3 月，疑似威脅組織 UNC3886 策劃了一系列攻擊，據報導與中國有關。這些攻擊利用零日漏洞來分發一系列定制植入程序以及 Reptile Rootkit。

同月內，源自 Reptile 的名為Mélofée的基於 Linux 的惡意軟件的使用被歸咎於中國黑客組織。然後，在 2023 年 6 月，加密劫持活動通過 shell 腳本後門感染了設備，以傳播 Reptile Rootkit，作為其操作的一部分，有效隱藏其子進程、文件及其內容。

Reptile Rootkit 配備了一組先進的威脅功能

經過對 Reptile 的仔細分析，出現了一種獨特的機制：一個與名為 kmatryoshka 的工具協同運行的加載器組件。該加載程序負責解密 rootkit 的內核模塊並將其加載到系統內存中。隨後，加載程序啟動指定端口的打開，進入準備狀態，攻擊者可以使用 TCP、UDP 或 ICMP 等通信協議向主機發送特殊信號（稱為魔術數據包）。

封裝在魔包中的數據包含關鍵信息——C2 服務器的地址。利用此信息，建立一個反向 shell，連接到 C&C 服務器。這種通過魔法數據包觸發惡意活動的技術之前已在另一個名為 Syslogk 的 Rootkit 中註意到。同樣，在韓國也發現了涉及 Reptile Rootkit 的類似攻擊場景。這次襲擊在戰術上與梅洛菲有很多相似之處。

總之，Reptile 充當 Linux 內核模式 Rootkit 惡意軟件，其主要功能是隱藏文件、目錄、進程和網絡通信。然而，它還提供了一個獨特的功能：提供反向 shell。這一額外特徵使得隱藏 Reptile Rootkit 的系統可能容易受到威脅行為者的劫持。