Το Reptile Rootkit χρησιμοποιεί Port Knocking

Οι φορείς απειλών στον κυβερνοχώρο έχουν στρέψει την προσοχή τους στα συστήματα Linux στη Νότια Κορέα, αναπτύσσοντας ένα rootkit ανοιχτού κώδικα που ονομάζεται Reptile. Αυτό που κάνει το Reptile να ξεχωρίζει από το συμβατικό κακόβουλο λογισμικό rootkit είναι η προηγμένη λειτουργικότητά του. Πέρα από την απλή απόκρυψη της παρουσίας του, το Reptile προσφέρει ένα χαρακτηριστικό αντίστροφου κελύφους, παρέχοντας στους επιτιθέμενους ένα άμεσο μέσο για να πάρουν τον έλεγχο των παραβιασμένων συστημάτων. Αυτή η αποκάλυψη προέρχεται από το Κέντρο Αντιμετώπισης Έκτακτης Ανάγκης Ασφαλείας AhnLab (ASEC), το οποίο δημοσίευσε μια αναφορά πρόσφατα.

Ο τρόπος λειτουργίας του Ερπετού περιλαμβάνει μια ενδιαφέρουσα τεχνική που είναι γνωστή ως "χτυπώντας λιμένα". Εδώ, το κακόβουλο λογισμικό ενεργοποιεί μια συγκεκριμένη θύρα για να ανοίξει σε ένα παραβιασμένο σύστημα, θέτοντας ουσιαστικά το σύστημα σε κατάσταση αναμονής. Όταν ένας παράγοντας απειλής στέλνει ένα ειδικά κατασκευασμένο "μαγικό πακέτο" στον μολυσμένο κεντρικό υπολογιστή, το πακέτο χρησιμεύει ως έναυσμα για τη δημιουργία σύνδεσης με τον διακομιστή Command and Control (C&C).

Το ερπετό εμφανίζει πιθανούς συνδέσμους με το PUPY RAT

Στον πυρήνα του, ένα rootkit είναι ένα κακόβουλο πρόγραμμα που έχει σχεδιαστεί εσκεμμένα για να διασφαλίζει αυξημένη πρόσβαση σε ένα σύστημα υπολογιστή, διατηρώντας παράλληλα την παράνομη παρουσία του. Από το 2022, η Reptile έχει απασχοληθεί σε τουλάχιστον τέσσερις διαφορετικές καμπάνιες. Η πρώτη του εμφάνιση αναγνωρίστηκε από την Trend Micro τον Μάιο του 2022, όταν συνδέθηκε με το σετ εισβολής Earth Berberoka, που χρησιμοποιήθηκε για την απόκρυψη συνδέσεων και διεργασιών που σχετίζονται με το trojan Pupy RAT. Το τελευταίο χρησιμοποιήθηκε σε επιθέσεις εναντίον ιστοσελίδων τζόγου στην Κίνα.

Γρήγορα τον Μάρτιο του 2023 και η Mandiant που ανήκει στην Google εξέθεσε μια σειρά επιθέσεων που ενορχηστρώθηκαν από την UNC3886, μια ύποπτη ομάδα απειλών που συνδέεται με την Κίνα. Αυτοί οι εισβολείς εκμεταλλεύτηκαν τα τρωτά σημεία zero-day στις συσκευές Fortinet για να διανείμουν διάφορα προσαρμοσμένα εμφυτεύματα, συμπεριλαμβανομένου του Reptile.

Μια άλλη περίπτωση τον ίδιο μήνα τόνισε τη χρήση κακόβουλου λογισμικού που βασίζεται σε ερπετά με το όνομα Mélofée από μια κινεζική ομάδα hacking, σύμφωνα με το ExaTrack. Τέλος, μια επιχείρηση κρυπτογράφησης που επισημάνθηκε από τη Microsoft τον Ιούνιο του 2023 χρησιμοποίησε μια κερκόπορτα σεναρίου κελύφους λήψης ερπετών για να κρύψει τις δραστηριότητές της.

Μια εις βάθος ανάλυση της μηχανικής του Reptile αποκαλύπτει την παρουσία ενός φορτωτή που αξιοποιεί ένα εργαλείο που ονομάζεται "kmatryoshka" για να αποκρυπτογραφήσει και να φορτώσει τη μονάδα πυρήνα του rootkit στη μνήμη του συστήματος. Μόλις φορτωθεί, το rootkit ανοίγει μια καθορισμένη θύρα και περιμένει έναν εισβολέα να μεταδώσει ένα μαγικό πακέτο, μια τεχνική που θυμίζει ένα άλλο rootkit που ονομάζεται Syslogk, το οποίο τεκμηριώθηκε από την Avast τον προηγούμενο χρόνο.

Επιπλέον, η νοτιοκορεατική εταιρεία κυβερνοασφάλειας σημείωσε ότι είχε αποκαλύψει μια υπόθεση επίθεσης που αφορούσε την Reptile στη χώρα. Είναι ενδιαφέρον ότι αυτό το περιστατικό είχε τακτικές ομοιότητες με την επίθεση στο Mélofée, υπονοώντας πιθανές συνδέσεις μεταξύ των φορέων απειλής στον κυβερνοχώρο και των μεθοδολογιών τους.