Reptile Rootkit utilise Port Knocking

Les acteurs de la cyber-menace ont tourné leur attention vers les systèmes Linux en Corée du Sud, déployant un rootkit open source nommé Reptile. Ce qui distingue Reptile des logiciels malveillants rootkit conventionnels, c'est sa fonctionnalité avancée. Au-delà de la simple dissimulation de sa présence, Reptile offre une fonctionnalité de coque inversée, offrant aux attaquants un moyen direct de prendre le contrôle des systèmes compromis. Cette révélation est une gracieuseté du AhnLab Security Emergency Response Center (ASEC), qui a récemment publié un rapport.

Le modus operandi de Reptile implique une technique intéressante connue sous le nom de "port knocking". Ici, le logiciel malveillant déclenche l'ouverture d'un port spécifique sur un système compromis, mettant ainsi le système en veille. Lorsqu'un acteur malveillant envoie un "paquet magique" spécialement conçu à l'hôte infecté, le paquet sert de déclencheur pour établir une connexion avec le serveur de commande et de contrôle (C&C).

Reptile affiche des liens possibles avec Pupy RAT

À la base, un rootkit est un programme malveillant délibérément conçu pour sécuriser un accès élevé à un système informatique, tout en maintenant sa présence clandestine. Depuis 2022, Reptile a été employé dans au moins quatre campagnes distinctes. Sa première apparition a été identifiée par Trend Micro en mai 2022 lorsqu'elle était liée à l'ensemble d'intrusion Earth Berberoka, utilisé pour masquer les connexions et les processus liés au cheval de Troie Pupy RAT. Ce dernier a été utilisé dans des attaques contre des sites de jeux d'argent en Chine.

Avance rapide jusqu'en mars 2023, et Mandiant, propriété de Google, a révélé une série d'attaques orchestrées par UNC3886, un groupe d'acteurs menaçants présumé lié à la Chine. Ces attaquants ont exploité les vulnérabilités zero-day des appliances Fortinet pour distribuer divers implants personnalisés, dont Reptile.

Un autre cas au cours du même mois a mis en évidence l'utilisation d'un logiciel malveillant basé sur Reptile nommé Mélofée par un groupe de piratage chinois, selon ExaTrack. Enfin, une opération de cryptojacking signalée par Microsoft en juin 2023 a utilisé une porte dérobée de script shell de téléchargement de Reptile pour masquer ses activités.

Une analyse approfondie des mécanismes de Reptile révèle la présence d'un chargeur qui exploite un outil appelé "kmatryoshka" pour déchiffrer et charger le module noyau du rootkit dans la mémoire système. Une fois chargé, le rootkit ouvre un port désigné et attend qu'un attaquant transmette un paquet magique, une technique qui rappelle un autre rootkit nommé Syslogk, documenté par Avast l'année précédente.

En outre, la société sud-coréenne de cybersécurité a noté qu'elle avait découvert un cas d'attaque impliquant Reptile dans le pays. Fait intéressant, cet incident présentait des similitudes tactiques avec l'attaque de Mélofée, faisant allusion à des liens potentiels entre les acteurs de la cyber-menace et leurs méthodologies.