Reptile là một rootkit mô-đun kernel nguồn mở được thiết kế để nhắm mục tiêu vào các hệ thống Linux. Phần mềm độc hại hỗ trợ gõ cổng, mở một cổng cụ thể trên hệ thống bị nhiễm và đợi Magic Packet gửi từ hacker để thiết lập kết nối C2.
Các nhà nghiên cứu từ Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC) cho biết hacker đang sử dụng Reptile để nhắm mục tiêu vào các hệ thống Linux ở Hàn Quốc.
Các nhà nghiên cứu đã theo dõi nhiều chiến dịch sử dụng Reptile kể từ năm 2022. Mới đây, Mandiant báo cáo về chiến dịch được cho là do một nhóm APT có liên kết với Trung Quốc đã sử dụng rootkit Reptile và khai thác lỗ hổng zero-day (CVE-2022-41328) trong các sản phẩm của Fortinet. Các nhà nghiên cứu ExaTrack cũng nêu chi tiết một chiến dịch sử dụng Mélofée và rootkit Reptile, quy kết chiến dịch này cho nhóm gián điệp mạng Winnti liên quan Trung Quốc.
Reptile dựa vào một công cụ gọi là KHOOK để kết nối các chức năng của nhân Linux. Rootkit đã được sử dụng trong các cuộc tấn công trước đây nhắm vào các công ty Hàn Quốc.
Các nhà nghiên cứu cảnh báo rằng Reptile có thể dễ dàng bị những kẻ tấn công khác nhau sử dụng vì có mã nguồn mở. Hacker cũng có thể tùy chỉnh rootkit trong các cuộc tấn công trong tương lai và sử dụng kết hợp cùng với mã độc khác.
Nguồn: Security Affairs