Reptile Rootkit开源恶意程序，针对韩国 Linux 系统定向渗透

威胁行为者正在使用名为 Reptile 的开源 Rootkit来攻击韩国的 Linux 系统。

AhnLab 安全应急响应中心 (ASEC)在本周发布的一份报告中表示：与其他通常仅提供隐藏功能的 Rootkit 恶意软件不同，Reptile 更进一步，提供反向 shell，使威胁行为者能够轻松控制系统。

端口敲门是恶意软件在受感染系统上打开特定端口并处于待机状态的一种方法。当威胁行为者向系统发送魔术数据包时，收到的数据包将用作与 C&C 服务器建立连接的基础。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，Rootkit 是一种恶意软件程序，旨在提供对计算机的特权、根级访问，同时隐藏其存在。自 2022 年以来，至少有四个不同的活动利用了 Reptile。

趋势科技于 2022 年 5 月记录了该 Rootkit 的首次使用，涉及追踪为 Earth Berberoka（又名 GamblingPuppet）的入侵集，该入侵集被发现使用该恶意软件来隐藏与跨平台 Python 木马相关的连接和进程。在针对中国赌博网站的攻击中被称为 Pupy RAT。

然后在 2023 年 3 月，谷歌旗下的 Mandiant 详细介绍了一系列由疑似与中国有关的威胁行为者发起的攻击，该威胁行为者被称为 UNC3886，该攻击者利用Fortinet设备中的零日缺陷部署了许多定制植入程序以及 Reptile。

同月，ExaTrack 披露了一个中国黑客组织使用基于 Reptile 的名为Mélofée的 Linux 恶意软件。最后，2023 年 6 月，微软发现的加密劫持操作使用 shell 脚本后门下载 Reptile，以掩盖其子进程、文件或其内容。

对 Reptile 的仔细检查揭示了加载程序的使用，该加载程序使用名为kmatryoshka的工具来解密并将 rootkit 的内核模块加载到内存中，之后它会打开特定端口并等待攻击者通过以下方式向主机传输魔术数据包协议，例如 TCP、UDP 或 ICMP。

ASEC 表示：“通过魔术包接收到的数据包含 C&C 服务器地址。” “基于此，反向 shell 连接到 C&C 服务器。”

值得注意的是，之前在另一个名为Syslogk的 Rootkit 中已经观察到使用魔术包来激活恶意活动，该 Rootkit 去年已被 Avast 记录。

这家韩国网络安全公司表示，它还在该国发现了一起涉及使用 Reptile 的攻击案例，同时与 Mélofée 的战术有一些相似之处。

极牛攻防实验室表示，Reptile 是一种 Linux 内核模式 rootkit 恶意软件，为文件、目录、进程和网络通信提供隐藏功能。然而，Reptile 本身也提供了反向 shell，使得安装了 Reptile 的系统容易被威胁者劫持。

几周前，趋势科技表示发现了另一个名为BPFDoor的规避性 Linux 后门的多个新变种，该后门已被代号为 Red Menshen（又名 DecisiveArchitect 或 Red Dev 18）的中国威胁行为者使用。

与 2022 年发现的样本相比，Red Menshen 改进了他们的 BPF 过滤器，其 BPF 程序指令增加了六倍。 这是一个明显的迹象，表明 BPFDoor 正在积极开发中，并且已被证明足够成功，这些攻击值得恶意软件开发人员从此次升级工作中获得投资回报。