爬虫類のルートキットはポートノッキングを使用します

サイバー攻撃者は韓国の Linux システムに注目し、Reptile という名前のオープンソース ルートキットを展開しています。 Reptile が従来のルートキット マルウェアと異なる点は、その高度な機能です。 Reptile は単にその存在を隠すだけでなく、リバース シェル機能を提供し、侵害されたシステムを制御する直接手段を攻撃者に提供します。この暴露は、AhnLab Security Emergency Response Center (ASEC) のご好意で行われ、最近報告書が発表されました。

Reptile の手口には、「ポート ノッキング」として知られる興味深いテクニックが含まれています。ここで、マルウェアは侵害されたシステム上で特定のポートを開くようトリガーし、システムを事実上スタンバイ状態にします。脅威アクターが特別に作成した「マジック パケット」を感染ホストに送信すると、そのパケットはコマンド アンド コントロール (C&C) サーバーとの接続を確立するトリガーとして機能します。

爬虫類は子犬の RAT との関連性を示唆

本質的に、ルートキットは、秘密の存在を維持しながら、コンピューター システムへの昇格されたアクセスを保護するために意図的に設計された悪意のあるプログラムです。 2022 年以来、Reptile は少なくとも 4 つの異なるキャンペーンに採用されています。そのデビューの外観は、Pupy RAT トロイの木馬に関連する接続とプロセスを隠すために利用された Earth Berberoka 侵入セットにリンクされていたときに、2022 年 5 月にトレンドマイクロによって特定されました。後者は、中国のギャンブル Web サイトに対する攻撃に使用されました。

2023 年 3 月に早送りすると、Google 所有の Mandiant は、中国と関係があると疑われる脅威アクター グループ UNC3886 によって組織化された一連の攻撃を暴露しました。これらの攻撃者は、フォーティネット アプライアンスのゼロデイ脆弱性を悪用して、Reptile を含むさまざまなカスタム インプラントを配布しました。

ExaTrack によると、同月の別の事例では、中国のハッカーグループによる「Mélofée」という爬虫類ベースのマルウェアの使用が明らかになりました。最後に、2023 年 6 月に Microsoft によって報告されたクリプトジャッキング活動では、爬虫類をダウンロードするシェル スクリプト バックドアを使用して活動を隠蔽しました。

Reptile の仕組みを詳細に分析したところ、「kmatryoshka」と呼ばれるツールを利用してルートキットのカーネル モジュールを復号化し、システム メモリにロードするローダーの存在が明らかになりました。ロードされると、ルートキットは指定されたポートを開き、攻撃者がマジック パケットを送信するのを待ちます。これは、前年にアバストによって文書化された Syslogk という名前の別のルートキットを彷彿とさせる手法です。

さらに、韓国のサイバーセキュリティ会社は、国内でReptileが関与した攻撃事件を発見したと述べた。興味深いことに、この事件はメロフィー攻撃と戦術的に類似しており、サイバー攻撃者とその手法との間に潜在的なつながりがあることを示唆しています。