Atuantes maliciosos estão usando um rootkit open-source chamado Réptil para atingir sistemas Linux na Coreia do Sul.
"Diferente de outros malwares rootkit que tipicamente apenas oferecem capacidades de ocultação, o Réptil vai um passo além ao oferecer um shell reverso, permitindo que atuantes maliciosos facilmente tomem controle dos sistemas", disse o Centro de Resposta de Emergência de Segurança da AhnLab (ASEC) em um relatório publicado essa semana.
"Bater na porta é um método onde o malware abre uma porta específica em um sistema infectado e fica em espera.
Quando o atuante malicioso envia um pacote mágico para o sistema, o pacote recebido é usado como base para estabelecer uma conexão com o servidor C&C."
Um rootkit é um programa de software malicioso que é projetado para fornecer acesso privilegiado, de nível raiz a uma máquina enquanto esconde sua presença.
Pelo menos quatro diferentes campanhas usaram o Réptil desde 2022.
O primeiro uso do rootkit foi registrado pela Trend Micro em maio de 2022 em conexão com um conjunto de intrusões rastreadas como Earth Berberoka (também conhecida como GamblingPuppet), que foi encontrada usando o malware para ocultar conexões e processos relacionados a um trojan Python multiplataforma conhecido como Pupy RAT em ataques direcionados a sites de apostas na China.
Em março de 2023, a Mandiant, de propriedade do Google, detalhou um conjunto de ataques montados por um atuante malicioso suspeito de ligação com a China, apelidado de UNC3886, que empregou falhas zero-day em dispositivos Fortinet para implantar uma série de implantes personalizados, bem como o Réptil.
A ExaTrack, no mesmo mês, revelou o uso de um malware Linux chamado Mélofée por um grupo de hackers chineses, que é baseado no Réptil.
Por último, em junho de 2023, uma operação de criptojacking descoberta pela Microsoft usou um script shell de backdoor para baixar o Réptil para obscurecer seus processos filhos, arquivos ou seu conteúdo.
Uma análise mais detalhada do Réptil revela o uso de um carregador, que usa uma ferramenta chamada kmatryoshka para descriptografar e carregar o módulo kernel do rootkit na memória, após o que abre uma porta específica e espera pelo ataque para transmitir um pacote mágico para o host através de protocolos como TCP, UDP, ou ICMP.
"Os dados recebidos através do pacote mágico contêm o endereço do servidor C&C", disse a ASEC.
"Com base nisso, um shell reverso se conecta ao servidor C&C".
Vale a pena notar que o uso de pacotes mágicos para ativar a atividade maliciosa já foi observado anteriormente em outro rootkit chamado Syslogk, que foi documentado pela Avast no ano passado.
A empresa sul-coreana de cibersegurança disse também ter detectado um caso de ataque no país que envolvia o uso do Réptil, ao mesmo tempo que apresentava algumas semelhanças táticas com o Mélofée.
"Réptil é um malware rootkit de modo kernel Linux que fornece um recurso de ocultação para arquivos, diretórios, processos e comunicações de rede", disse a ASEC.
"No entanto, o próprio Réptil também oferece um shell reverso, tornando os sistemas com o Réptil instalado suscetíveis a serem sequestrados por atuantes maliciosos."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...