Les pirates utilisent un rootkit open source appelé Reptile pour cibler les systèmes Linux en Corée du Sud.
« Contrairement à d’autres logiciels malveillants rootkit qui ne fournissent généralement que des capacités de dissimulation, Reptile va encore plus loin en offrant une coque inversée, permettant aux acteurs de la menace de prendre facilement le contrôle des systèmes », a déclaré le AhnLab Security Emergency Response Center (ASEC) dans un rapport publié cette semaine. .
« Port knocking est une méthode par laquelle le logiciel malveillant ouvre un port spécifique sur un système infecté et se met en veille. Lorsque l’acteur de la menace envoie un paquet magique au système, le paquet reçu est utilisé comme base pour établir une connexion avec le serveur C&C . »
Un rootkit est un logiciel malveillant conçu pour fournir un accès privilégié au niveau racine à une machine tout en masquant sa présence. Au moins quatre campagnes différentes ont tiré parti de Reptile depuis 2022.
La première utilisation du rootkit a été enregistrée par Trend Micro en mai 2022 en relation avec un ensemble d’intrusions suivi sous le nom de Earth Berberoka (alias GamblingPuppet), qui s’est avéré utiliser le logiciel malveillant pour masquer les connexions et les processus liés à un cheval de Troie Python multiplateforme. connu sous le nom de Pupy RAT dans des attaques visant des sites de jeu en Chine.
Puis, en mars 2023, Mandiant, propriété de Google, a détaillé une série d’attaques montées par un acteur menaçant présumé lié à la Chine, surnommé UNC3886, qui utilisait des failles zero-day dans les appareils Fortinet pour déployer un certain nombre d’implants personnalisés ainsi que Reptile.
ExaTrack, le même mois, a révélé l’utilisation par un groupe de piratage chinois d’un malware Linux appelé Mélofée basé sur Reptile. Enfin, en juin 2023, une opération de cryptojacking découverte par Microsoft a utilisé une porte dérobée de script shell pour télécharger Reptile afin d’obscurcir ses processus enfants, ses fichiers ou leur contenu.
Un examen plus approfondi de Reptile révèle l’utilisation d’un chargeur, qui utilise un outil appelé kmatryoshka pour déchiffrer et charger le module noyau du rootkit en mémoire, après quoi il ouvre un port spécifique et attend que l’attaquant transmette un paquet magique à l’hôte via protocoles tels que TCP, UDP ou ICMP.
« Les données reçues via le paquet magique contiennent l’adresse du serveur C&C », a déclaré l’ASEC. « Sur cette base, un shell inversé se connecte au serveur C&C. »
Il convient de noter que l’utilisation de paquets magiques pour activer l’activité malveillante a déjà été observée dans un autre rootkit nommé Syslogk, qui a été documenté par Avast l’année dernière.
La société sud-coréenne de cybersécurité a déclaré avoir également détecté un cas d’attaque dans le pays qui impliquait l’utilisation de Reptile, tout en présentant certaines similitudes tactiques avec Mélofée.
« Reptile est un malware rootkit en mode noyau Linux qui fournit une fonction de dissimulation pour les fichiers, les répertoires, les processus et les communications réseau », a déclaré l’ASEC. « Cependant, Reptile lui-même fournit également une coque inversée, ce qui rend les systèmes sur lesquels Reptile est installé susceptibles d’être piratés par des acteurs malveillants. »
