Réptil Rootkit usa portas batendo

Os atores de ameaças cibernéticas voltaram sua atenção para os sistemas Linux na Coreia do Sul, implantando um rootkit de código aberto chamado Reptile. O que diferencia o Reptile do malware rootkit convencional é sua funcionalidade avançada. Além de simplesmente ocultar sua presença, o Reptile oferece um recurso de shell reverso, fornecendo aos invasores um meio direto de assumir o controle dos sistemas comprometidos. Esta revelação é cortesia do AhnLab Security Emergency Response Center (ASEC), que divulgou um relatório recentemente.

O modus operandi do Reptile envolve uma técnica interessante conhecida como "porta batendo". Aqui, o malware aciona uma porta específica para abrir em um sistema comprometido, efetivamente colocando o sistema em espera. Quando um agente de ameaça envia um "pacote mágico" especialmente criado para o host infectado, o pacote serve como um gatilho para estabelecer uma conexão com o servidor de Comando e Controle (C&C).

Réptil exibe possíveis links para Pupy RAT

Em sua essência, um rootkit é um programa malicioso projetado deliberadamente para proteger o acesso elevado a um sistema de computador, mantendo sua presença clandestina. Desde 2022, a Reptile foi empregada em pelo menos quatro campanhas distintas. Sua aparição de estreia foi identificada pela Trend Micro em maio de 2022, quando foi vinculado ao conjunto de intrusão Earth Berberoka, utilizado para obscurecer conexões e processos relacionados ao trojan Pupy RAT. Este último foi usado em ataques contra sites de jogos de azar na China.

Avançando para março de 2023, a Mandiant, de propriedade do Google, expôs uma série de ataques orquestrados pelo UNC3886, um grupo suspeito de ameaças vinculado à China. Esses invasores exploraram vulnerabilidades de dia zero em aparelhos Fortinet para distribuir vários implantes personalizados, incluindo Reptile.

Outra instância no mesmo mês destacou o uso de malware baseado em répteis chamado Mélofée por um grupo de hackers chinês, de acordo com a ExaTrack. Por fim, uma operação de cryptojacking sinalizada pela Microsoft em junho de 2023 usou um backdoor de script de shell de download de répteis para mascarar suas atividades.

Uma análise aprofundada da mecânica do Reptile revela a presença de um carregador que aproveita uma ferramenta chamada "kmatryoshka" para descriptografar e carregar o módulo do kernel do rootkit na memória do sistema. Depois de carregado, o rootkit abre uma porta designada e espera que um invasor transmita um pacote mágico, uma técnica que lembra outro rootkit chamado Syslogk, documentado pela Avast no ano anterior.

Além disso, a empresa de segurança cibernética sul-coreana observou que havia descoberto um caso de ataque envolvendo Reptile no país. Curiosamente, este incidente apresentou semelhanças táticas com o ataque Mélofée, sugerindo possíveis conexões entre os atores de ameaças cibernéticas e suas metodologias.