Reptile Rootkit использует стук портов

Субъекты киберугроз обратили свое внимание на системы Linux в Южной Корее, развернув руткит с открытым исходным кодом под названием Reptile. Что отличает Reptile от обычных вредоносных программ-руткитов, так это его расширенная функциональность. Помимо простого сокрытия своего присутствия, Reptile предлагает функцию обратной оболочки, предоставляя злоумышленникам прямые средства для получения контроля над скомпрометированными системами. Это откровение предоставлено Центром экстренного реагирования AhnLab Security (ASEC), который недавно опубликовал отчет.

Метод работы Reptile включает в себя интересную технику, известную как «стук в порт». Здесь вредоносное ПО активирует открытие определенного порта в скомпрометированной системе, фактически переводя систему в режим ожидания. Когда злоумышленник отправляет зараженному хосту специально созданный «магический пакет», этот пакет служит триггером для установления соединения с сервером управления и контроля (C&C).

Рептилия показывает возможные ссылки на Pupy RAT

По своей сути руткит представляет собой вредоносную программу, специально разработанную для обеспечения повышенного доступа к компьютерной системе, сохраняя при этом свое тайное присутствие. С 2022 года Reptile участвовал как минимум в четырех различных кампаниях. Его первое появление было обнаружено Trend Micro в мае 2022 года, когда он был связан с набором вторжений Earth Berberoka, используемым для сокрытия соединений и процессов, связанных с трояном Pupy RAT. Последний использовался в атаках на игорные сайты в Китае.

Перенесемся в март 2023 года, и компания Mandiant, принадлежащая Google, раскрыла серию атак, организованных UNC3886, группой подозреваемых в угрозах, связанных с Китаем. Эти злоумышленники использовали уязвимости нулевого дня в устройствах Fortinet для распространения различных пользовательских имплантатов, включая Reptile.

По данным ExaTrack, в другом случае в том же месяце китайская хакерская группа использовала вредоносное ПО на основе рептилий под названием Mélofée. Наконец, операция криптоджекинга, отмеченная Microsoft в июне 2023 года, использовала бэкдор сценария оболочки для загрузки Reptile для маскировки своих действий.

Углубленный анализ механики Reptile показывает наличие загрузчика, использующего инструмент kmatryoshka для расшифровки и загрузки модуля ядра руткита в системную память. После загрузки руткит открывает назначенный порт и ждет, пока злоумышленник передаст «магический пакет» — метод, напоминающий другой руткит под названием Syslogk, который был задокументирован Avast в прошлом году.

Кроме того, южнокорейская фирма по кибербезопасности отметила, что они раскрыли случай атаки с участием Reptile в стране. Интересно, что этот инцидент имел тактическое сходство с атакой Mélofée, намекая на потенциальные связи между участниками киберугроз и их методологиями.