Agentes de ameaças estão usando um rootkit de código aberto chamado Reptile para atingir sistemas Linux na Coreia do Sul. “Ao contrário de outros malwares de rootkit que normalmente fornecem apenas recursos de ocultação, o Reptile vai um passo além, oferecendo um shell reverso, permitindo que os agentes de ameaças assumam facilmente o controle dos sistemas”, disse o AhnLab Security Emergency Response Center (ASEC) em um relatório publicado esta semana.
“Port knocking é um método em que o malware abre uma porta específica em um sistema infectado e fica em espera. Quando o agente da ameaça envia um pacote mágico ao sistema, o pacote recebido é usado como base para estabelecer uma conexão com o servidor C&C .”
Um rootkit é um programa de software malicioso projetado para fornecer acesso privilegiado no nível da raiz a uma máquina enquanto oculta sua presença. Pelo menos quatro campanhas diferentes alavancaram a Reptile desde 2022.
O primeiro uso do rootkit foi registrado pela Trend Micro em maio de 2022 em conexão com um conjunto de invasões rastreado como Earth Berberoka (também conhecido como GamblingPuppet), que usa o malware para ocultar conexões e processos relacionados a um trojan Python de plataforma cruzada conhecido como Pupy RAT em ataques direcionados a sites de jogos de azar na China.
Então, em março de 2023, a Mandiant, de propriedade do Google, detalhou um conjunto de ataques montados por um suposto agente de ameaças vinculado à China, apelidado de UNC3886, que empregou falhas de dia zero em aparelhos Fortinet para implantar vários implantes personalizados, bem como Reptile.
Reptile Rootkit: malware Linux sofisticado visando sistemas sul-coreanos
O ExaTrack, no mesmo mês, revelou o uso de um malware Linux chamado Mélofée por um grupo de hackers chinês, baseado no Reptile. Por fim, em junho de 2023, uma operação de criptojacking descoberta pela Microsoft usou um backdoor de shell script para baixar o Reptile a fim de ocultar seus processos filhos, arquivos ou seu conteúdo.
Um exame mais detalhado do Reptile revela o uso de um carregador, que usa uma ferramenta chamada kmatryoshka para descriptografar e carregar o módulo do kernel do rootkit na memória, após o que ele abre uma porta específica e aguarda que o invasor transmita um pacote mágico ao host pelo protocolos como TCP, UDP ou ICMP.
“Os dados recebidos pelo pacote mágico contêm o endereço do servidor C&C”, disse a ASEC. “Com base nisso, um shell reverso se conecta ao servidor C&C.”
Vale a pena notar que o uso de pacotes mágicos para ativar a atividade maliciosa foi observado anteriormente em outro rootkit chamado Syslogk, que foi documentado pela Avast no ano passado.
A empresa de segurança cibernética sul-coreana disse que também detectou um caso de ataque no país que envolveu o uso do Reptile, embora tenha algumas semelhanças táticas com o Mélofée.
“Reptile é um malware rootkit no modo kernel do Linux que fornece um recurso de ocultação para arquivos, diretórios, processos e comunicações de rede”, disse a ASEC. “No entanto, o próprio Reptile também fornece um shell reverso, tornando os sistemas com o Reptile instalado suscetíveis a serem sequestrados por agentes de ameaças”.