Reptile Rootkit naudoja Port Knocking

Kibernetinės grėsmės veikėjai atkreipė dėmesį į „Linux“ sistemas Pietų Korėjoje, įdiegdami atvirojo kodo „rootkit“, pavadintą „Reptile“. „Reptile“ iš įprastų „rootkit“ kenkėjiškų programų išskiria pažangias funkcijas. „Reptile“ ne tik slepia savo buvimą, bet ir siūlo atvirkštinio apvalkalo funkciją, suteikdama užpuolikams tiesiogines priemones perimti pažeistų sistemų valdymą. Šį apreiškimą padarė „AhnLab Security Emergency Response Center“ (ASEC), kuris neseniai paskelbė ataskaitą.

Reptile modus operandi apima įdomią techniką, žinomą kaip „port knocking“. Čia kenkėjiška programa suaktyvina konkretų prievadą, kad būtų atidarytas pažeistoje sistemoje, efektyviai perkeldama sistemą į budėjimo režimą. Kai grėsmės veikėjas siunčia specialiai sukurtą „stebuklingą paketą“ užkrėstam pagrindiniam kompiuteriui, paketas veikia kaip paleidiklis užmegzti ryšį su komandų ir valdymo (C&C) serveriu.

Ropliai rodo galimas nuorodas į Pupy RAT

Iš esmės „rootkit“ yra kenkėjiška programa, specialiai sukurta siekiant užtikrinti aukštesnę prieigą prie kompiuterinės sistemos, išlaikant jos slaptą buvimą. Nuo 2022 m. „Reptile“ buvo įdarbinta mažiausiai keturiose skirtingose kampanijose. Jo debiutinį pasirodymą nustatė „Trend Micro“ 2022 m. gegužės mėn., kai jis buvo susietas su „Earth Berberoka“ įsibrovimų rinkiniu, naudojamu ryšiams ir procesams, susijusiems su „Pupy RAT“ Trojos arkliu užgožti. Pastarasis buvo naudojamas atakoms prieš azartinių lošimų svetaines Kinijoje.

Perkant iki 2023 m. kovo mėn., „Google“ priklausantis „Mandiant“ atskleidė daugybę išpuolių, kuriuos surengė UNC3886 – įtariama grėsmės veikėjų grupė, susijusi su Kinija. Šie užpuolikai išnaudojo „Fortinet“ įrenginių nulinės dienos pažeidžiamumą, kad platintų įvairius pasirinktinius implantus, įskaitant „Reptile“.

Kitas atvejis tą patį mėnesį pabrėžė, kad Kinijos įsilaužėlių grupė naudojo ropliais pagrįstą kenkėjišką programą, pavadintą Mélofée, teigia „ExaTrack“. Galiausiai 2023 m. birželio mėn. „Microsoft“ pažymėta kriptovaliutų keitimo operacija naudojo roplių atsisiuntimo apvalkalo scenarijaus užpakalines duris, kad užmaskuotų savo veiklą.

Išsami Reptile mechanikos analizė atskleidžia, kad yra įkroviklis, kuris naudoja įrankį, vadinamą „kmatryoshka“, kad iššifruotų ir įkeltų rootkit branduolio modulį į sistemos atmintį. Įkėlus rootkit, jis atidaro tam skirtą prievadą ir laukia, kol užpuolikas perduos stebuklingą paketą – techniką, primenančią kitą rootkit, pavadintą Syslogk, kurį Avast dokumentavo praėjusiais metais.

Be to, Pietų Korėjos kibernetinio saugumo įmonė pažymėjo, kad atskleidė atakos, susijusios su reptilijomis, atvejį šalyje. Įdomu tai, kad šis incidentas turėjo taktinių panašumų su Mélofée ataka, užsimindamas apie galimus ryšius tarp kibernetinės grėsmės veikėjų ir jų metodikų.