Reptile Rootkit maakt gebruik van Port Knocking

Cyberdreigingsactoren hebben hun aandacht gericht op Linux-systemen in Zuid-Korea en hebben een open-source rootkit met de naam Reptile geïmplementeerd. Wat Reptile onderscheidt van conventionele rootkit-malware, is de geavanceerde functionaliteit. Reptile verbergt niet alleen zijn aanwezigheid, maar biedt ook een reverse shell-functie, waardoor aanvallers een directe manier krijgen om de controle over gecompromitteerde systemen over te nemen. Deze onthulling is afkomstig van het AhnLab Security Emergency Response Center (ASEC), dat onlangs een rapport heeft uitgebracht.

De modus operandi van Reptile omvat een interessante techniek die bekend staat als "port knocking". Hier triggert de malware een specifieke poort om te openen op een gecompromitteerd systeem, waardoor het systeem effectief stand-by wordt gezet. Wanneer een bedreigingsactor een speciaal vervaardigd "magisch pakket" naar de geïnfecteerde host stuurt, dient het pakket als een trigger om een verbinding tot stand te brengen met de Command and Control (C&C)-server.

Reptiel toont mogelijke links naar Pupy RAT

In de kern is een rootkit een kwaadaardig programma dat met opzet is ontworpen om verhoogde toegang tot een computersysteem te beveiligen, terwijl het zijn clandestiene aanwezigheid behoudt. Sinds 2022 is Reptile in ten minste vier verschillende campagnes ingezet. Zijn debuut werd in mei 2022 door Trend Micro geïdentificeerd toen het werd gekoppeld aan de Earth Berberoka-inbraakset, die werd gebruikt voor het verdoezelen van verbindingen en processen met betrekking tot de Pupy RAT-trojan. Die laatste werd gebruikt bij aanvallen op gokwebsites in China.

Snel vooruit naar maart 2023, toen Mandiant, eigendom van Google, een reeks aanvallen blootlegde die waren georkestreerd door UNC3886, een vermoedelijke groep van bedreigingsactoren die banden heeft met China. Deze aanvallers misbruikten zero-day-kwetsbaarheden in Fortinet-apparaten om verschillende op maat gemaakte implantaten te verspreiden, waaronder Reptile.

Een ander geval in dezelfde maand benadrukte het gebruik van op reptielen gebaseerde malware genaamd Mélofée door een Chinese hackgroep, volgens ExaTrack. Ten slotte gebruikte een cryptojacking-operatie die in juni 2023 door Microsoft was gemarkeerd, een backdoor van een reptiel-downloadend shell-script om zijn activiteiten te maskeren.

Een diepgaande analyse van de mechanica van Reptile onthult de aanwezigheid van een lader die een tool genaamd "kmatryoshka" gebruikt om de kernelmodule van de rootkit te decoderen en in het systeemgeheugen te laden. Eenmaal geladen, opent de rootkit een aangewezen poort en wacht tot een aanvaller een magisch pakket verzendt, een techniek die doet denken aan een andere rootkit genaamd Syslogk, die vorig jaar door Avast werd gedocumenteerd.

Verder merkte het Zuid-Koreaanse cyberbeveiligingsbedrijf op dat ze een aanvalszaak met Reptile in het land hadden ontdekt. Interessant is dat dit incident tactische overeenkomsten vertoont met de Mélofée-aanval, wat duidt op mogelijke verbanden tussen cyberdreigingsactoren en hun methodologieën.