Reptilrootkit bruker portbanking

Aktører på nettrussel har rettet oppmerksomheten mot Linux-systemer i Sør-Korea ved å distribuere et åpen kildekode-rootkit kalt Reptile. Det som skiller Reptile fra konvensjonell rootkit-skadevare er dens avanserte funksjonalitet. Utover å bare skjule sin tilstedeværelse, tilbyr Reptile en omvendt skallfunksjon, som gir angripere en direkte måte å ta kontroll over kompromitterte systemer. Denne avsløringen kommer med tillatelse fra AhnLab Security Emergency Response Center (ASEC), som nylig ga ut en rapport.

Modus operandi til Reptile involverer en interessant teknikk kjent som "port banking." Her utløser skadelig programvare en spesifikk port for å åpne på et kompromittert system, noe som effektivt setter systemet i standby. Når en trusselaktør sender en spesiallaget "magisk pakke" til den infiserte verten, fungerer pakken som en trigger for å etablere en forbindelse med Command and Control (C&C)-serveren.

Reptil viser mulige koblinger til RAT

I kjernen er et rootkit et ondsinnet program som bevisst er designet for å sikre økt tilgang til et datasystem, samtidig som det opprettholder dens hemmelige tilstedeværelse. Siden 2022 har Reptile vært ansatt i minst fire forskjellige kampanjer. Debututseendet ble identifisert av Trend Micro i mai 2022 da det ble koblet til Earth Berberoka-inntrengningssettet, brukt for å skjule forbindelser og prosesser relatert til Pupy RAT-trojaneren. Sistnevnte ble brukt i angrep mot gamblingnettsteder i Kina.

Spol frem til mars 2023, og Google-eide Mandiant avslørte en serie angrep orkestrert av UNC3886, en mistenkt trusselaktørgruppe knyttet til Kina. Disse angriperne utnyttet nulldagssårbarheter i Fortinet-apparater for å distribuere forskjellige tilpassede implantater, inkludert Reptile.

Et annet tilfelle i samme måned fremhevet bruken av reptilbasert skadelig programvare kalt Mélofée av en kinesisk hackergruppe, ifølge ExaTrack. Til slutt brukte en kryptojacking-operasjon flagget av Microsoft i juni 2023 et reptil-nedlastende skallskript bakdør for å maskere aktivitetene.

En dybdeanalyse av Reptiles mekanikk avslører tilstedeværelsen av en laster som bruker et verktøy kalt "kmatryoshka" for å dekryptere og laste inn rootkittets kjernemodul inn i systemminnet. Når det er lastet, åpner rootkit en utpekt port og venter på at en angriper skal overføre en magisk pakke, en teknikk som minner om et annet rootkit ved navn Syslogk, som ble dokumentert av Avast året før.

Videre bemerket det sørkoreanske cybersikkerhetsfirmaet at de hadde avdekket en angrepssak som involverte Reptile i landet. Interessant nok bar denne hendelsen taktiske likheter med Mélofée-angrepet, og antydet potensielle forbindelser mellom aktører på nettrussel og deres metodikk.