Reptile Rootkit używa pukania do portów

Cyberprzestępcy zwrócili swoją uwagę na systemy Linux w Korei Południowej, wdrażając rootkita typu open source o nazwie Reptile. Tym, co odróżnia Reptile od konwencjonalnego złośliwego oprogramowania typu rootkit, jest jego zaawansowana funkcjonalność. Poza zwykłym ukrywaniem swojej obecności, Reptile oferuje funkcję odwróconej powłoki, zapewniając atakującym bezpośredni sposób przejęcia kontroli nad zaatakowanymi systemami. To odkrycie pochodzi dzięki uprzejmości AhnLab Security Emergency Response Center (ASEC), które niedawno opublikowało raport.

Modus operandi Reptile obejmuje interesującą technikę znaną jako „pukanie do portu”. W tym przypadku złośliwe oprogramowanie uruchamia określony port, który otwiera się w zaatakowanym systemie, skutecznie wprowadzając system w stan gotowości. Gdy ugrupowanie cyberprzestępcze wysyła specjalnie spreparowany „magiczny pakiet” do zainfekowanego hosta, pakiet ten służy jako wyzwalacz do nawiązania połączenia z serwerem dowodzenia i kontroli (C&C).

Reptile wyświetla możliwe linki do Pupy RAT

Zasadniczo rootkit to szkodliwy program celowo zaprojektowany w celu zabezpieczenia podwyższonego dostępu do systemu komputerowego, a wszystko to przy jednoczesnym zachowaniu jego tajnej obecności. Od 2022 roku Reptile był zatrudniony w co najmniej czterech różnych kampaniach. Jego debiutancki wygląd został zidentyfikowany przez firmę Trend Micro w maju 2022 r., kiedy został powiązany z zestawem włamań Earth Berberoka, wykorzystywanym do ukrywania połączeń i procesów związanych z trojanem Pupy RAT. Ten ostatni był wykorzystywany w atakach na witryny hazardowe w Chinach.

Szybko do marca 2023 r. należący do Google Mandiant ujawnił serię ataków zorganizowanych przez UNC3886, grupę podejrzewaną o cyberataki powiązaną z Chinami. Atakujący wykorzystali luki dnia zerowego w urządzeniach Fortinet do dystrybucji różnych niestandardowych implantów, w tym Reptile.

Według ExaTrack inny przypadek w tym samym miesiącu uwydatnił użycie złośliwego oprogramowania opartego na Reptile o nazwie Mélofée przez chińską grupę hakerską. Wreszcie, operacja cryptojackingu zgłoszona przez Microsoft w czerwcu 2023 r. wykorzystała backdoora skryptu powłoki pobierającego Reptile w celu zamaskowania swoich działań.

Dogłębna analiza mechaniki Reptile ujawnia obecność modułu ładującego, który wykorzystuje narzędzie o nazwie „kmatryoshka” do odszyfrowania i załadowania modułu jądra rootkita do pamięci systemowej. Po załadowaniu rootkit otwiera wyznaczony port i czeka, aż atakujący prześle magiczny pakiet. Jest to technika przypominająca inny rootkit o nazwie Syslogk, który został udokumentowany przez Avast rok wcześniej.

Ponadto południowokoreańska firma zajmująca się cyberbezpieczeństwem zauważyła, że odkryła przypadek ataku z udziałem Reptile w tym kraju. Co ciekawe, incydent ten miał taktyczne podobieństwa do ataku Mélofée, wskazując na potencjalne powiązania między cyberprzestępcami a ich metodologiami.