A Reptile Rootkit Port Knocking-ot használ

A kiberfenyegetések szereplői a dél-koreai Linux rendszerek felé fordították figyelmüket, és a Reptile nevű nyílt forráskódú rootkitet telepítették. A Reptile-t fejlett funkciói különböztetik meg a hagyományos rootkit kártevőktől. Amellett, hogy elrejti jelenlétét, a Reptile egy fordított shell funkciót is kínál, amely közvetlen eszközt biztosít a támadóknak a feltört rendszerek feletti irányítás átvételéhez. Ez a kinyilatkoztatás az AhnLab Security Emergency Response Center (ASEC) jóvoltából származik, amely nemrégiben adott ki jelentést.

A Reptile modus operandija egy érdekes technikát foglal magában, amelyet "port kopogtatásnak" neveznek. Itt a rosszindulatú program egy adott port megnyitását indítja el egy feltört rendszeren, és ezzel gyakorlatilag készenléti állapotba helyezi a rendszert. Amikor egy fenyegetőző egy speciálisan kialakított "varázscsomagot" küld a fertőzött gazdagépnek, a csomag triggerként szolgál, hogy kapcsolatot létesítsen a Command and Control (C&C) szerverrel.

A hüllő lehetséges linkeket jelenít meg a Pupy RAT-hez

Lényegében a rootkit egy rosszindulatú program, amelyet szándékosan arra terveztek, hogy magas szintű hozzáférést biztosítson egy számítógépes rendszerhez, miközben megőrzi titkos jelenlétét. 2022 óta a Reptile-t legalább négy különböző kampányban alkalmazzák. Debütáló megjelenését a Trend Micro azonosította 2022 májusában, amikor összekapcsolták az Earth Berberoka behatolókészlettel, amelyet a Pupy RAT trójaival kapcsolatos kapcsolatok és folyamatok elfedésére használtak. Ez utóbbit szerencsejáték-webhelyek elleni támadásokban használták Kínában.

Gyorsan előre 2023 márciusára, és a Google tulajdonában lévő Mandiant támadások sorozatát fedte le, amelyet az UNC3886, egy Kínához köthető, feltételezett fenyegető cselekvőcsoport szervezett. Ezek a támadók a Fortinet készülékek nulladik napi sebezhetőségét használták ki különféle egyedi implantátumok, köztük a Reptile terjesztésére.

Ugyanebben a hónapban egy másik eset rávilágított arra, hogy az ExaTrack szerint egy kínai hackercsoport használta a Mélofée nevű hüllő-alapú kártevőt. Végül egy, a Microsoft által 2023 júniusában megjelölt kriptográfiai művelet egy hüllő-letöltő shell-szkriptet használt, hogy elfedje tevékenységét.

A Reptile mechanikájának mélyreható elemzése feltárja egy betöltő jelenlétét, amely a „kmatryoshka” nevű eszközt használja fel a rootkit kernelmoduljának visszafejtésére és rendszermemóriába való betöltésére. A betöltés után a rootkit megnyit egy kijelölt portot, és megvárja, amíg a támadó elküld egy mágikus csomagot. Ez a technika egy másik Syslogk nevű rootkitre emlékeztet, amelyet az Avast az előző évben dokumentált.

Továbbá a dél-koreai kiberbiztonsági cég megjegyezte, hogy feltártak egy támadást, amelyben Reptile is érintett az országban. Érdekes módon ez az incidens taktikai hasonlóságot mutatott a Mélofée-támadással, utalva a kiberfenyegetés szereplői és módszereik közötti lehetséges kapcsolatokra.