Заплахите използват руткит с отворен код, наречен Reptile, за да атакуват Linux системи в Южна Корея.

„За разлика от други зловредни руткитове, които обикновено предоставят само възможности за прикриване, Reptile отива още по-далеч, като предлага обратна обвивка, позволяваща на  заплахите лесно да поемат контрол над системите“, се казва в доклад на Центъра за реагиране при извънредни ситуации в областта на сигурността AhnLab (ASEC), публикуван миналата  седмица.

„Port knocking“ е метод, при който зловредният софтуер отваря определен порт на заразената система и преминава в режим на готовност. Когато извършителят изпрати магически пакет към системата, полученият пакет се използва като основа за установяване на връзка със сървъра C&C.“

Руткитът е злонамерена софтуерна програма, която е предназначена да осигури привилегирован достъп до машината на ниво root, като същевременно прикрива своето присъствие. От 2022 г. насам поне четири различни кампании са използвали Reptile.

Първото използване на руткита е регистрирано от Trend Micro през май 2022 г. във връзка с набор за проникване, проследен като Earth Berberoka (известен още като GamblingPuppet), за който е установено, че използва злонамерения софтуер, за да скрие връзки и процеси, свързани с кросплатформен троянец Python, известен като Pupy RAT, при атаки, насочени към сайтове за хазартни игри в Китай.

След това през март 2023 г. Mandiant, собственост на Google, подробно описва набор от атаки, организирани от предполагаема, свързана с Китай  заплаха, наречена UNC3886, която е използвала недостатъци от типа „нулев ден“ в устройствата на Fortinet, за да внедри редица персонализирани импланти, както и Reptile.

През същия месец ExaTrack разкри, че китайска хакерска група използва зловреден софтуер за Linux, наречен Mélofée, който се основава на Reptile. И накрая, през юни 2023 г. операция по криптоджакинг, открита от Microsoft, използва скрипт на шел, за да изтегли Reptile с цел да скрие неговите дъщерни процеси, файлове или тяхното съдържание.

При по-внимателно разглеждане на Reptile се разкрива използването на loader, който използва инструмент, наречен kmatryoshka, за да декриптира и зареди модула на ядрото на руткита в паметта, след което отваря определен порт и очаква нападателят да предаде магически пакет на хоста по протоколи като TCP, UDP или ICMP.

„Данните, получени чрез магическия пакет, съдържат адреса на сървъра C&C“, казва ASEC. „Въз основа на това обратната обвивка се свързва със сървъра C&C.“

Струва си да се отбележи, че използването на магически пакети за активиране на злонамерената дейност е наблюдавано преди това в друг руткит на име Syslogk, който беше документиран от Avast миналата година.

Южнокорейската фирма за киберсигурност заяви, че е открила и случай на атака в страната, който включва използването на Reptile, като същевременно има някои тактически прилики с Mélofée.

„Reptile е зловреден софтуер с руткит в режим на ядрото на Linux, който осигурява функция за скриване на файлове, директории, процеси и мрежови комуникации“, заяви ASEC. „Самият Reptile обаче предоставя и обратна обвивка, което прави системите с инсталиран Reptile податливи на превземане от  заплахи.“

 

Източник: The Hacker News

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
6 февруари 2025

Нападателите се насочват към образователния сек...

Кампания за фишинг се възползва от услугата Microsoft Active Direct...
6 февруари 2025

Руските хакери са използвали 0-Day уязвимост в ...

Руски групи за заплахи са провеждали кампании за кибершпионаж срещу...
Бъдете социални
Още по темата
13/01/2025

Infostealer се маскира като...

3аплахите разпространяват зловреден софтуер за кражба...
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
18/11/2024

Фалшиви реклами на Bitwarde...

Фалшиви реклами на мениджъра на пароли...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!