Rootkit de reptiles

Des auteurs de menaces ont été observés en train d'utiliser un rootkit open source nommé Reptile pour cibler les systèmes Linux en Corée du Sud. Contrairement aux logiciels malveillants rootkit conventionnels qui se concentrent principalement sur la dissimulation des activités, Reptile franchit une étape supplémentaire en offrant une fonctionnalité de shell inversé. Cela permet aux acteurs mal intentionnés de prendre un contrôle direct sur les systèmes compromis, amplifiant ainsi leur capacité à les manipuler et à les exploiter.

Dans ce contexte, une technique appelée "port knocking" est employée par le malware. Cela implique que le rootkit ouvre un port spécifique sur un système infecté et attend en mode veille. Lors de la réception d'un signal spécifique ou d'un "paquet magique" des acteurs de la menace, une connexion peut être établie entre le système compromis et le serveur de commande et de contrôle (C2, C&C) de l'opération d'attaque. Un rootkit est une forme de logiciel menaçant délibérément conçu pour fournir un accès élevé au niveau racine à une machine tout en masquant sa présence. Notamment, Reptile a été utilisé dans au moins quatre campagnes distinctes depuis l'année 2022.

Plusieurs campagnes nuisibles ont déjà utilisé le rootkit Reptile

En mai 2022, des chercheurs ont documenté le premier cas de déploiement du rootkit Reptile, attribué à un ensemble d'intrusions appelé Earth Berberoka, également connu sous le nom de GamblingPuppet. Au cours de cette découverte, il a été révélé que le rootkit était utilisé pour masquer les connexions et les processus liés à un cheval de Troie Python multiplateforme, connu sous le nom de Pupy RAT . Ces attaques visaient principalement des sites de jeux d'argent situés en Chine.

En mars 2023, une série d'attaques a été orchestrée par un acteur menaçant connu sous le nom d'UNC3886, qui serait lié à la Chine. Ces attaques ont capitalisé sur les vulnérabilités du jour zéro pour distribuer une gamme d'implants sur mesure, aux côtés du rootkit Reptile.

Au cours du même mois, l'utilisation d'un malware basé sur Linux nommé Mélofée , dérivé de Reptile, a été attribuée à un groupe de piratage chinois. Puis, en juin 2023, une campagne de cryptojacking a infecté des appareils avec une porte dérobée de script shell pour fournir le Rootkit Reptile, masquant efficacement ses processus enfants, ses fichiers et leur contenu dans le cadre de ses opérations.

Le Rootkit Reptile est équipé d'un ensemble avancé de capacités menaçantes

Après une analyse plus approfondie de Reptile, un mécanisme distinctif émerge : un composant de chargeur qui fonctionne en tandem avec un outil appelé kmatryoshka. Ce chargeur est responsable du déchiffrement et du chargement du module noyau du rootkit dans la mémoire du système. Par la suite, le chargeur initie l'ouverture d'un port désigné, entrant dans un état de préparation permettant à un attaquant d'envoyer un signal spécial, appelé paquet magique, à l'hôte à l'aide de protocoles de communication tels que TCP, UDP ou ICMP.

Les données encapsulées dans le paquet magique contiennent des informations critiques, l'adresse du serveur C2. En utilisant ces informations, un shell inversé est établi, se connectant au serveur C&C. Cette technique de déclenchement d'activités malveillantes via des paquets magiques a déjà été notée dans un autre rootkit nommé Syslogk. Dans le même ordre d'idées, un scénario d'attaque similaire impliquant le rootkit Reptile a été détecté en Corée du Sud. L'attaque présentait plusieurs ressemblances tactiques avec Mélofée.

En résumé, Reptile fonctionne comme un malware rootkit en mode noyau Linux avec pour fonction principale de dissimuler des fichiers, des répertoires, des processus et des communications réseau. Néanmoins, il présente également une capacité distinctive : la fourniture d'une coque inversée. Ce trait supplémentaire rend les systèmes hébergeant le Rootkit Reptile potentiellement vulnérables au piratage par des acteurs malveillants.