Reptile Rootkit utilizza il port knocking

Gli attori delle minacce informatiche hanno rivolto la loro attenzione ai sistemi Linux in Corea del Sud, distribuendo un rootkit open source chiamato Reptile. Ciò che distingue Reptile dal malware rootkit convenzionale è la sua funzionalità avanzata. Oltre a nascondere semplicemente la sua presenza, Reptile offre una funzionalità di shell inversa, fornendo agli aggressori un mezzo diretto per prendere il controllo dei sistemi compromessi. Questa rivelazione arriva per gentile concessione dell'AhnLab Security Emergency Response Center (ASEC), che ha recentemente pubblicato un rapporto.

Il modus operandi di Reptile prevede un'interessante tecnica nota come "port knocking". In questo caso, il malware attiva l'apertura di una porta specifica su un sistema compromesso, mettendo effettivamente il sistema in standby. Quando un attore della minaccia invia un "pacchetto magico" appositamente predisposto all'host infetto, il pacchetto funge da trigger per stabilire una connessione con il server di comando e controllo (C&C).

Il rettile mostra possibili collegamenti a Pupy RAT

Fondamentalmente, un rootkit è un programma dannoso deliberatamente progettato per proteggere l'accesso elevato a un sistema informatico, il tutto mantenendo la sua presenza clandestina. Dal 2022, Reptile è stato impiegato in almeno quattro campagne distinte. Il suo debutto è stato identificato da Trend Micro nel maggio 2022 quando è stato collegato al set di intrusioni Earth Berberoka, utilizzato per oscurare connessioni e processi relativi al trojan Pupy RAT. Quest'ultimo è stato utilizzato negli attacchi contro i siti web di gioco d'azzardo in Cina.

Avanti veloce fino a marzo 2023 e Mandiant di proprietà di Google ha rivelato una serie di attacchi orchestrati da UNC3886, un sospetto gruppo di attori di minacce collegato alla Cina. Questi aggressori hanno sfruttato le vulnerabilità zero-day nelle appliance Fortinet per distribuire vari impianti personalizzati, tra cui Reptile.

Un altro caso nello stesso mese ha evidenziato l'utilizzo di un malware basato su Reptile chiamato Mélofée da parte di un gruppo di hacker cinese, secondo ExaTrack. Infine, un'operazione di cryptojacking segnalata da Microsoft nel giugno 2023 ha utilizzato una backdoor di script shell per il download di Reptile per mascherare le sue attività.

Un'analisi approfondita dei meccanismi di Reptile rivela la presenza di un caricatore che sfrutta uno strumento chiamato "kmatryoshka" per decifrare e caricare il modulo del kernel del rootkit nella memoria di sistema. Una volta caricato, il rootkit apre una porta designata e attende che un utente malintenzionato trasmetta un pacchetto magico, una tecnica che ricorda un altro rootkit chiamato Syslogk, documentato da Avast l'anno precedente.

Inoltre, la società di sicurezza informatica sudcoreana ha notato di aver scoperto un caso di attacco che coinvolge Reptile nel paese. È interessante notare che questo incidente presentava somiglianze tattiche con l'attacco Mélofée, suggerendo potenziali connessioni tra gli attori delle minacce informatiche e le loro metodologie.