爬虫類のルートキット

脅威アクターは、Reptile という名前のオープンソース ルートキットを使用して、韓国の Linux システムをターゲットにしていることが観察されています。活動を隠蔽することに主に焦点を当てた従来のルートキット マルウェアとは異なり、Reptile はリバース シェル機能を提供するという追加のステップを踏みます。これにより、悪意のある攻撃者が侵害されたシステムを直接制御できるようになり、システムを操作したり悪用したりする能力が増幅されます。

これに関連して、マルウェアは「ポート ノッキング」と呼ばれる手法を使用します。これには、ルートキットが感染したシステム上で特定のポートを開き、スタンバイ モードで待機することが含まれます。脅威アクターから特定の信号または「マジック パケット」を受信すると、侵害されたシステムと攻撃操作のコマンド アンド コントロール (C2、C&C) サーバーとの間に接続が確立される可能性があります。ルートキットは、マシンへの昇格されたルートレベルのアクセスを提供しながら、同時にマシンの存在を難読化するように意図的に設計された一種の脅威的なソフトウェアです。特に、Reptile は 2022 年以降、少なくとも 4 つの異なるキャンペーンで利用されています。

いくつかの有害なキャンペーンですでに爬虫類のルートキットが使用されています

2022 年 5 月、研究者らは、GamblingPuppet としても認識される Earth Berberoka と呼ばれる侵入セットに起因する Reptile ルートキット展開の最初の事例を文書化しました。この発見の過程で、 Pupy RATとして知られるクロスプラットフォームの Python トロイの木馬にリンクされた接続とプロセスをクロークするためにルートキットが利用されていたことが明らかになりました。これらの攻撃は主に中国にあるギャンブル Web サイトに向けられていました。

2023 年 3 月、中国との関連が報じられている UNC3886 として知られる脅威アクターと思われる人物によって一連の攻撃が組織されました。これらの攻撃はゼロデイ脆弱性を利用して、爬虫類のルートキットとともに一連のカスタムメイドのインプラントを配布しました。

同月内に、Reptile に由来するMéloféeという Linux ベースのマルウェアの使用が中国のハッカー グループによるものであるとされました。その後、2023 年 6 月に、クリプトジャッキング キャンペーンによってシェル スクリプト バックドアがデバイスに感染し、Reptile Rootkit が配信され、操作の一環としてその子プロセス、ファイル、およびそのコンテンツが効果的に隠蔽されました。

爬虫類ルートキットには高度な脅威機能が装備されています

Reptile を詳しく分析すると、独特のメカニズムが明らかになります。それは、kmatryoshka と呼ばれるツールと連携して動作するローダー コンポーネントです。このローダーは、ルートキットのカーネル モジュールを復号化し、システムのメモリにロードする役割を果たします。その後、ローダーは指定されたポートのオープンを開始し、攻撃者が TCP、UDP、または ICMP などの通信プロトコルを使用してマジック パケットと呼ばれる特別な信号をホストに送信できる状態に入ります。

マジック パケット内にカプセル化されたデータには、C2 サーバーのアドレスという重要な情報が含まれています。この情報を利用して、リバース シェルが確立され、C&C サーバーに接続されます。マジック パケットを介して悪意のあるアクティビティをトリガーするこの手法は、Syslogk という名前の別のルートキットで以前に注目されています。同様に、爬虫類ルートキットを含む同様の攻撃シナリオが韓国でも検出されました。この攻撃はメロフェとの戦術的な類似点をいくつか示した。

要約すると、Reptile は Linux カーネル モードのルートキット マルウェアとして機能し、主な機能はファイル、ディレクトリ、プロセス、およびネットワーク通信を隠蔽します。それにもかかわらず、リバース シェルの提供という独特の機能も提供します。この追加の特性により、Reptile Rootkit が存在するシステムは、脅威アクターによるハイジャックに対して潜在的に脆弱になります。