Os cibercriminosos estão empregando um rootkit de código aberto denominado Reptile para acessar dispositivos Linux na Coreia do Sul.
Em vez de apenas esconder recursos, o Reptile vai além, fornecendo um shell reverso, o que permite que os criadores de ameaças assumam facilmente o controle de computadores, de acordo com o Relatório divulgado pela AhnLab’s Emergency Response Center (ASEC) na presente semana.
Port knocking é um método que permite que o malware abra uma porta designada em um computador infectado e aguarde. Quando o autor da ameaça envia uma mensagem especial para o sistema, o pacote recebido é usado para estabelecer uma ligação com o servidor de comando e controle.
Um rootkit é um programa de computador malicioso concebido para oferecer um acesso privilegiado de nível de root a um computador, mantendo ao mesmo tempo a ocultação de sua presença. Desde 2022, pelo menos quatro campanhas tem impulsionado o Reptile.
A Trend Micro registrou o primeiro uso de rootkit em maio de 2020 relacionado à Earth Berberoka (também conhecida como GamblingPuppet). O conjunto de invasão usou um malware para mascarar conexões relacionadas a um Trojan Python de plataforma cruzada chamado Pupy RAT, direcionado a sites de jogos de azar na China.
Em março de 2023, a Mandiant, uma companhia do Google, descreveu uma série de ataques de um suposto terrorista da China denominado UNC3886. Estes ataques usavam falhas de zero dias nos dispositivos Fortinet para implantar implantes personalizados, como o Reptile.
ExaTrack revelou em junho de 2023 o emprego de um grupo de hackers chineses de um vírus Linux nomeado Mélofée que é derivado de Reptile. Mais tarde, a Microsoft descobriu uma ação de criptografia que usou um backdoor de script shell para baixar Reptile, a fim de esconder seus processos, arquivos ou seu conteúdo.
Um estudo mais aprofundado de Reptile mostra o uso de um carregador, que utiliza uma ferramenta chamada Kmatryoshka para descriptografar e carregar o núcleo do rootkit para a memória, após o qual abre uma porta específica e aguarda que o invasor envie um pacote especial ao host através de protocolos tais como TCP, UDP ou ICMP.
A ASEC afirmou que os dados adquiridos do pacote mágico fornecem o endereço do servidor C&C. Com isso, um shell reverso estabelece a conexão ao servidor C&C.
É importante destacar que já foi documentado o uso de pacotes mágicos para ativar a atividade maliciosa de outro rootkit conhecido como Syslogk. Isso foi notado pela Avast no ano anterior.
A companhia de proteção cibernética da Coreia do Sul informou que houve um caso de invasão no país que exigia o uso de Réptile, enquanto apresentava algumas semelhanças estratégicas com o Mélofée.
O ASEC declarou que Reptile é um rootkit do modo kernel do Linux que possui uma funcionalidade de ocultamento para arquivos, diretórios, processos e conexões de rede. No entanto, isso também torna os computadores com Reptile instalado vulneráveis a invasões por parte de agentes maliciosos, já que habilita um shell reverso.