Reptile использует метод Port Knocking (дословно — «простукивание портов»): открывает определенный порт на зараженной системе и ожидает специального пакета от злоумышленников, чтобы установить соединение с C2.
Специалисты ASEC (AhnLab Security Emergency response Center) зафиксировали несколько таких кампаний, начиная с 2022 года. Об этом пишет Securitylab.
Вредоносная программа использует загрузчик — модуль ядра, упакованный при помощи открытого инструмента kmatryoshka. Этот инструмент декодирует руткит и загружает его компонент в память.
Reptile опирается на механизм KHOOK для перехвата функций Linux. Раньше схему уже задействовали в атаках на южнокорейские организации.
«В данном конкретном случае, помимо Reptile, злоумышленники применили обратный шелл ISH на основе протокола ICMP, — говорится в отчете ASEC. — ISH — вредоносное ПО, предоставляющее удаленный доступ к командной строке через ICMP. Обычно обратные или привязанные шеллы работают через TCP или HTTP, но, вероятно, эта группировка выбрала ISH, чтобы обойти сетевое обнаружение».
Эксперты предупреждают: не исключено, что в будущих атаках Reptile удастся модифицировать и сочетать с другим ПО, поскольку руткит работает с открытым исходным кодом.