Reptil Rootkit använder portknackning

Aktörer av cyberhot har riktat sin uppmärksamhet mot Linux-system i Sydkorea och distribuerat ett rootkit med öppen källkod som heter Reptile. Det som skiljer Reptile från konventionell rootkit-skadlig kod är dess avancerade funktionalitet. Utöver att bara dölja sin närvaro erbjuder Reptile en omvänd skalfunktion, som ger angripare ett direkt sätt att ta kontroll över komprometterade system. Denna avslöjande kommer med tillstånd från AhnLab Security Emergency Response Center (ASEC), som nyligen släppte en rapport.

Reptiles modus operandi involverar en intressant teknik som kallas "port knocking". Här utlöser skadlig programvara att en specifik port öppnas på ett komprometterat system, vilket effektivt sätter systemet i vänteläge. När en hotaktör skickar ett speciellt framställt "magiskt paket" till den infekterade värden, fungerar paketet som en utlösare för att upprätta en anslutning till Command and Control (C&C)-servern.

Reptil visar möjliga länkar till valp RAT

I grunden är ett rootkit ett skadligt program som medvetet har utformats för att säkra förhöjd åtkomst till ett datorsystem, allt samtidigt som den behåller sin hemliga närvaro. Sedan 2022 har Reptile varit anställd i minst fyra distinkta kampanjer. Dess debututseende identifierades av Trend Micro i maj 2022 när den kopplades till Earth Berberoka intrångssetet, som användes för att dölja anslutningar och processer relaterade till Pupy RAT-trojanen. Det senare användes i attacker mot spelwebbplatser i Kina.

Snabbspola fram till mars 2023 och Google-ägda Mandiant avslöjade en serie attacker orkestrerade av UNC3886, en misstänkt hotaktörsgrupp kopplad till Kina. Dessa angripare utnyttjade nolldagssårbarheter i Fortinet-apparater för att distribuera olika anpassade implantat, inklusive Reptile.

En annan instans under samma månad lyfte fram användningen av reptilbaserad skadlig programvara som heter Mélofée av en kinesisk hackningsgrupp, enligt ExaTrack. Slutligen använde en kryptojackningsoperation som flaggades av Microsoft i juni 2023 en bakdörr för nedladdning av skalskript för att maskera dess aktiviteter.

En djupgående analys av Reptiles mekanik avslöjar närvaron av en laddare som utnyttjar ett verktyg som kallas "kmatryoshka" för att dekryptera och ladda rootkits kärnmodul i systemminnet. När rootkitet väl har laddats öppnar det en angiven port och väntar på att en angripare ska sända ett magiskt paket, en teknik som påminner om ett annat rootkit vid namn Syslogk, som dokumenterades av Avast föregående år.

Vidare noterade det sydkoreanska cybersäkerhetsföretaget att de hade upptäckt ett attackfall som involverade Reptile i landet. Intressant nog hade denna incident taktiska likheter med Mélofée-attacken, och antydde potentiella kopplingar mellan cyberhotsaktörer och deras metoder.