Sommario
Gli attori delle minacce stanno utilizzando un rootkit open-source chiamato Reptile per prendere di mira i sistemi Linux in Corea del Sud. A differenza di altri malware rootkit che tipicamente forniscono solo capacitร di occultamento, Reptile va un passo oltre offrendo una shell inversa, permettendo agli attori delle minacce di prendere facilmente il controllo dei sistemi.
Le caratteristiche di Reptile Rootkit
Reptile utilizza un metodo chiamato โport knockingโ, svelato da AhnLab, in cui il malware apre una specifica porta su un sistema infetto e rimane in standby. Quando lโattore della minaccia invia un pacchetto magico al sistema, il pacchetto ricevuto viene utilizzato come base per stabilire una connessione con il server C&C. Un rootkit รจ un programma software malevolo progettato per fornire accesso privilegiato, a livello di root, a una macchina, mentre nasconde la sua presenza.
Le campagne che hanno sfruttato Reptile
Almeno quattro diverse campagne hanno sfruttato Reptile dal 2022. Il primo utilizzo del rootkit รจ stato registrato da Trend Micro nel maggio 2022 in relazione a un insieme di intrusioni tracciate come Earth Berberoka (alias GamblingPuppet), che รจ stato trovato ad utilizzare il malware per nascondere connessioni e processi relativi a un trojan Python cross-platform noto come Pupy RAT in attacchi mirati a siti di gioco in Cina.
Lโuso di Reptile da parte di gruppi di hacking
Nel marzo 2023, Mandiant di Google ha dettagliato una serie di attacchi montati da un sospetto attore minaccioso collegato alla Cina soprannominato UNC3886 che ha utilizzato vulnerabilitร zero-day negli apparecchi Fortinet per distribuire una serie di impianti personalizzati oltre a Reptile. ExaTrack, nello stesso mese, ha rivelato lโuso di un malware Linux chiamato Mรฉlofรฉe da parte di un gruppo di hacking cinese, basato su Reptile. Infine, nel giugno 2023, unโoperazione di cryptojacking scoperta da Microsoft ha utilizzato una backdoor di script di shell per scaricare Reptile al fine di oscurare i suoi processi figlio, i file o il loro contenuto.