Reptilien-Rootkit

Es wurde beobachtet, dass Bedrohungsakteure ein Open-Source-Rootkit namens Reptile einsetzen, um Linux-Systeme in Südkorea anzugreifen. Im Gegensatz zu herkömmlicher Rootkit-Malware, die sich in erster Linie auf das Verbergen von Aktivitäten konzentriert, geht Reptile einen Schritt weiter, indem es eine Reverse-Shell-Funktionalität anbietet. Dies ermöglicht böswilligen Akteuren die direkte Kontrolle über kompromittierte Systeme und verstärkt so ihre Fähigkeit, diese zu manipulieren und auszunutzen.

In diesem Zusammenhang setzt die Schadsoftware eine Technik namens „Port Knocking“ ein. Dabei öffnet das Rootkit einen bestimmten Port auf einem infizierten System und wartet im Standby-Modus. Nach Erhalt eines bestimmten Signals oder „magischen Pakets“ von den Bedrohungsakteuren kann eine Verbindung zwischen dem kompromittierten System und dem Command-and-Control-Server (C2, C&C) der Angriffsoperation hergestellt werden. Ein Rootkit ist eine Form bedrohlicher Software, die absichtlich entwickelt wurde, um erhöhten Root-Zugriff auf eine Maschine zu ermöglichen und gleichzeitig deren Präsenz zu verschleiern. Insbesondere wurde Reptile seit dem Jahr 2022 in mindestens vier verschiedenen Kampagnen eingesetzt.

Mehrere schädliche Kampagnen haben das Reptile Rootkit bereits eingesetzt

Im Mai 2022 dokumentierten Forscher den ersten Einsatz des Reptile-Rootkits, der einem Eindringlingsset namens Earth Berberoka zugeschrieben wird, das auch als GamblingPuppet bekannt ist. Bei dieser Entdeckung stellte sich heraus, dass das Rootkit dazu verwendet wurde, Verbindungen und Prozesse zu verschleiern, die mit einem plattformübergreifenden Python-Trojaner namens Pupy RAT verknüpft waren. Diese Angriffe richteten sich hauptsächlich gegen Glücksspiel-Websites mit Sitz in China.

Im März 2023 wurde eine Reihe von Angriffen von einem mutmaßlichen Bedrohungsakteur namens UNC3886 inszeniert, der Berichten zufolge mit China in Verbindung steht. Diese Angriffe nutzten Zero-Day-Schwachstellen aus, um neben dem Reptile-Rootkit eine Reihe maßgeschneiderter Implantate zu verbreiten.

Im selben Monat wurde einer chinesischen Hackergruppe die Verwendung einer Linux-basierten Malware namens Mélofée zugeschrieben, die von Reptile abgeleitet ist. Dann, im Juni 2023, infizierte eine Kryptojacking-Kampagne Geräte mit einer Shell-Skript-Hintertür, um das Reptile Rootkit auszuliefern, wodurch seine untergeordneten Prozesse, Dateien und deren Inhalte im Rahmen seiner Operationen effektiv verborgen wurden.

Das Reptile Rootkit ist mit einer Reihe fortschrittlicher Bedrohungsfunktionen ausgestattet

Bei einer genaueren Analyse von Reptile kommt ein charakteristischer Mechanismus zum Vorschein: eine Ladekomponente, die mit einem Werkzeug namens Kmatryoshka zusammenarbeitet. Dieser Loader ist für die Entschlüsselung und das Laden des Kernelmoduls des Rootkits in den Systemspeicher verantwortlich. Anschließend initiiert der Loader die Öffnung eines bestimmten Ports und versetzt ihn in einen Bereitschaftszustand, in dem ein Angreifer über Kommunikationsprotokolle wie TCP, UDP oder ICMP ein spezielles Signal, ein sogenanntes Magic Packet, an den Host senden kann.

Die im Magic Packet gekapselten Daten enthalten wichtige Informationen – die Adresse des C2-Servers. Mithilfe dieser Informationen wird eine Reverse-Shell eingerichtet, die eine Verbindung zum C&C-Server herstellt. Diese Technik zum Auslösen bösartiger Aktivitäten über magische Pakete wurde bereits in einem anderen Rootkit namens Syslogk erwähnt. Ebenso wurde in Südkorea ein ähnliches Angriffsszenario mit dem Reptile-Rootkit entdeckt. Der Angriff wies mehrere taktische Ähnlichkeiten mit Mélofée auf.

Zusammenfassend lässt sich sagen, dass Reptile als Rootkit-Malware im Linux-Kernel-Modus fungiert und in erster Linie Dateien, Verzeichnisse, Prozesse und Netzwerkkommunikation verschleiert. Dennoch bietet es auch eine besondere Fähigkeit: die Bereitstellung einer umgekehrten Hülle. Diese zusätzliche Eigenschaft macht Systeme, die das Reptile Rootkit beherbergen, potenziell anfällig für die Übernahme durch Bedrohungsakteure.