Търсене
Close this search box.

Reptile Rootkit: Усъвършенстван злонамерен софтуер за Linux

Заплахите използват руткит с отворен код, наречен Reptile, за да атакуват Linux системи в Южна Корея.

„За разлика от други зловредни руткитове, които обикновено предоставят само възможности за прикриване, Reptile отива още по-далеч, като предлага обратна обвивка, позволяваща на  заплахите лесно да поемат контрол над системите“, се казва в доклад на Центъра за реагиране при извънредни ситуации в областта на сигурността AhnLab (ASEC), публикуван миналата  седмица.

„Port knocking“ е метод, при който зловредният софтуер отваря определен порт на заразената система и преминава в режим на готовност. Когато извършителят изпрати магически пакет към системата, полученият пакет се използва като основа за установяване на връзка със сървъра C&C.“

Руткитът е злонамерена софтуерна програма, която е предназначена да осигури привилегирован достъп до машината на ниво root, като същевременно прикрива своето присъствие. От 2022 г. насам поне четири различни кампании са използвали Reptile.

Първото използване на руткита е регистрирано от Trend Micro през май 2022 г. във връзка с набор за проникване, проследен като Earth Berberoka (известен още като GamblingPuppet), за който е установено, че използва злонамерения софтуер, за да скрие връзки и процеси, свързани с кросплатформен троянец Python, известен като Pupy RAT, при атаки, насочени към сайтове за хазартни игри в Китай.

След това през март 2023 г. Mandiant, собственост на Google, подробно описва набор от атаки, организирани от предполагаема, свързана с Китай  заплаха, наречена UNC3886, която е използвала недостатъци от типа „нулев ден“ в устройствата на Fortinet, за да внедри редица персонализирани импланти, както и Reptile.

През същия месец ExaTrack разкри, че китайска хакерска група използва зловреден софтуер за Linux, наречен Mélofée, който се основава на Reptile. И накрая, през юни 2023 г. операция по криптоджакинг, открита от Microsoft, използва скрипт на шел, за да изтегли Reptile с цел да скрие неговите дъщерни процеси, файлове или тяхното съдържание.

При по-внимателно разглеждане на Reptile се разкрива използването на loader, който използва инструмент, наречен kmatryoshka, за да декриптира и зареди модула на ядрото на руткита в паметта, след което отваря определен порт и очаква нападателят да предаде магически пакет на хоста по протоколи като TCP, UDP или ICMP.

„Данните, получени чрез магическия пакет, съдържат адреса на сървъра C&C“, казва ASEC. „Въз основа на това обратната обвивка се свързва със сървъра C&C.“

Струва си да се отбележи, че използването на магически пакети за активиране на злонамерената дейност е наблюдавано преди това в друг руткит на име Syslogk, който беше документиран от Avast миналата година.

Южнокорейската фирма за киберсигурност заяви, че е открила и случай на атака в страната, който включва използването на Reptile, като същевременно има някои тактически прилики с Mélofée.

„Reptile е зловреден софтуер с руткит в режим на ядрото на Linux, който осигурява функция за скриване на файлове, директории, процеси и мрежови комуникации“, заяви ASEC. „Самият Reptile обаче предоставя и обратна обвивка, което прави системите с инсталиран Reptile податливи на превземане от  заплахи.“

 

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
22/03/2024

Над 800 npm пакети с несъот...

Ново изследване откри над 800 пакета...
16/03/2024

Зловредният софтуер Ande Lo...

Заплахата, известна като Blind Eagle, е...
28/02/2024

Новата версия на IDAT loade...

Хакерска група, проследена като „UAC-0184“, е...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!