NUEVO ROOTKIT IDENTIFICADO COMO REPTILE

13/10/2023

Descripción

Además, ofrece un Shell inverso (proceso en el que la máquina de la víctima se conecta a la del atacante para recibir comandos); esta amenaza también tiene la capacidad de abrir nuevos puertos específicos en los sistemas operativos infectados a la espera de nuevas instrucciones por parte de los cibercriminales con la finalidad de establecer comunicación con su comando y control (C2).

Reptile emplea un Loader (cargador), el cual es un módulo del kernel empaquetado con una herramienta de código abierto denominada kmatryoshka, la cual es manipulada con la finalidad de descifrar el rootkit y cargar su módulo de kernel a la memoria de los sistemas operativos comprometidos; posteriormente, este último mencionado genera procesos para abrir un nuevo puerto específico para esperar nuevas instrucciones. Por último, se conoce que Reptile se encuentra basado en un motor denominado KHOOK para entrelazar las funciones del kernel de Linux.

Vector de infección

Por el momento no se ha identificado el vector de infección de esta amenaza, sin embargo, investigadores de seguridad han identificado la explotación de vulnerabilidades conocidas para implementarlo en diferentes infraestructuras informáticas de múltiples organizaciones.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

• Configurar herramientas de seguridad que permitan identificar este tipo de amenazas de forma temprana por medio del monitoreo a programas en ejecución.
• Evitar abrir mensajes de correo sospechosos o de dudosa procedencia, así mismo, evitar descargar archivos que contengan adjuntos.
• Configurar los servicios de correo con listas negras para evitar que este tipo de mensajes se puedan almacenar en las bandejas de entrada de los colaboradores.

Leer noticia: https://asec.ahnlab.com/en/55785/