Reptile Rootkit nutzt Port Knocking

Cyber-Bedrohungsakteure haben ihre Aufmerksamkeit auf Linux-Systeme in Südkorea gerichtet und ein Open-Source-Rootkit namens Reptile eingesetzt. Was Reptile von herkömmlicher Rootkit-Malware unterscheidet, ist seine erweiterte Funktionalität. Reptile verbirgt nicht nur seine Anwesenheit, sondern bietet auch eine Reverse-Shell-Funktion, die Angreifern eine direkte Möglichkeit bietet, die Kontrolle über kompromittierte Systeme zu übernehmen. Diese Enthüllung stammt vom AhnLab Security Emergency Response Center (ASEC), das kürzlich einen Bericht veröffentlicht hat.

Der Modus Operandi von Reptile beinhaltet eine interessante Technik, die als „Port Knocking“ bekannt ist. Dabei löst die Malware die Öffnung eines bestimmten Ports auf einem kompromittierten System aus, wodurch das System praktisch in den Standby-Modus versetzt wird. Wenn ein Bedrohungsakteur ein speziell gestaltetes „magisches Paket“ an den infizierten Host sendet, dient das Paket als Auslöser für den Aufbau einer Verbindung mit dem Command and Control (C&C)-Server.

Reptil zeigt mögliche Links zu Pupy RAT an

Im Kern handelt es sich bei einem Rootkit um ein Schadprogramm, das gezielt dazu entwickelt wurde, erhöhten Zugriff auf ein Computersystem zu sichern und gleichzeitig seine geheime Präsenz aufrechtzuerhalten. Seit 2022 wurde Reptile in mindestens vier verschiedenen Kampagnen eingesetzt. Sein erstes Auftreten wurde von Trend Micro im Mai 2022 entdeckt, als es mit dem Earth-Berberoka-Intrusion-Set in Verbindung gebracht wurde, das zur Verschleierung von Verbindungen und Prozessen im Zusammenhang mit dem Pupy-RAT-Trojaner verwendet wurde. Letzteres wurde bei Angriffen gegen Glücksspiel-Websites in China eingesetzt.

Spulen wir vor bis zum März 2023, als das Google-Unternehmen Mandiant eine Reihe von Angriffen aufdeckte, die von UNC3886 inszeniert wurden, einer mutmaßlichen Bedrohungsgruppe mit Verbindungen zu China. Diese Angreifer nutzten Zero-Day-Schwachstellen in Fortinet-Appliances aus, um verschiedene benutzerdefinierte Implantate, darunter Reptile, zu verteilen.

Ein weiterer Vorfall im selben Monat verdeutlichte laut ExaTrack den Einsatz von Reptile-basierter Malware namens Mélofée durch eine chinesische Hackergruppe. Schließlich nutzte eine von Microsoft im Juni 2023 gemeldete Kryptojacking-Operation eine Reptile-Downloading-Shell-Skript-Hintertür, um ihre Aktivitäten zu verschleiern.

Eine eingehende Analyse der Mechanik von Reptile zeigt das Vorhandensein eines Loaders, der ein Tool namens „kmatryoshka“ nutzt, um das Kernelmodul des Rootkits zu entschlüsseln und in den Systemspeicher zu laden. Sobald das Rootkit geladen ist, öffnet es einen bestimmten Port und wartet darauf, dass ein Angreifer ein magisches Paket übermittelt. Diese Technik erinnert an ein anderes Rootkit namens Syslogk, das im Vorjahr von Avast dokumentiert wurde.

Darüber hinaus gab das südkoreanische Cybersicherheitsunternehmen an, dass es im Land einen Angriffsfall mit Beteiligung von Reptile aufgedeckt habe. Interessanterweise wies dieser Vorfall taktische Ähnlichkeiten mit dem Mélofée-Angriff auf, was auf mögliche Verbindungen zwischen Cyber-Bedrohungsakteuren und ihren Methoden hindeutet.