Reptilerootkit bruger portbankning
Aktører af cybertrusler har rettet deres opmærksomhed mod Linux-systemer i Sydkorea ved at implementere et open source-rootkit ved navn Reptile. Det, der adskiller Reptile fra konventionel rootkit-malware, er dens avancerede funktionalitet. Udover blot at skjule sin tilstedeværelse, tilbyder Reptile en omvendt shell-funktion, der giver angribere et direkte middel til at tage kontrol over kompromitterede systemer. Denne afsløring kommer fra AhnLab Security Emergency Response Center (ASEC), som udgav en rapport for nylig.
Modus operandi af Reptile involverer en interessant teknik kendt som "port banking." Her udløser malwaren en specifik port til at åbne på et kompromitteret system, hvilket effektivt sætter systemet på standby. Når en trusselsaktør sender en specielt udformet "magisk pakke" til den inficerede vært, fungerer pakken som en trigger til at etablere en forbindelse med Command and Control (C&C) serveren.
Krybdyr viser mulige links til RAT
I sin kerne er et rootkit et ondsindet program, der bevidst er designet til at sikre forhøjet adgang til et computersystem, alt imens dets hemmelige tilstedeværelse bevares. Siden 2022 har Reptile været ansat i mindst fire forskellige kampagner. Dets debutudseende blev identificeret af Trend Micro i maj 2022, da det blev forbundet med Earth Berberoka-indtrængningssættet, der blev brugt til at skjule forbindelser og processer relateret til Pupy RAT-trojaneren. Sidstnævnte blev brugt i angreb mod gambling-websteder i Kina.
Spol frem til marts 2023, og Google-ejede Mandiant afslørede en række angreb orkestreret af UNC3886, en formodet trusselsaktørgruppe knyttet til Kina. Disse angribere udnyttede nul-dages sårbarheder i Fortinet-apparater til at distribuere forskellige tilpassede implantater, inklusive Reptile.
Et andet tilfælde i samme måned fremhævede brugen af krybdyr-baseret malware ved navn Mélofée af en kinesisk hackergruppe, ifølge ExaTrack. Endelig brugte en cryptojacking-operation, der blev markeret af Microsoft i juni 2023, et skal-script, der downloadede reptiler, til at maskere dets aktiviteter.
En dybdegående analyse af Reptiles mekanik afslører tilstedeværelsen af en indlæser, der udnytter et værktøj kaldet "kmatryoshka" til at dekryptere og indlæse rootkittets kernemodul i systemhukommelsen. Når det er indlæst, åbner rootkittet en udpeget port og venter på, at en angriber sender en magisk pakke, en teknik der minder om et andet rootkit ved navn Syslogk, som blev dokumenteret af Avast året før.
Yderligere bemærkede det sydkoreanske cybersikkerhedsfirma, at de havde afsløret en angrebssag, der involverede Reptile i landet. Interessant nok bar denne hændelse taktiske ligheder med Mélofée-angrebet, hvilket antydede potentielle forbindelser mellem cybertrusselsaktører og deres metoder.
