ហេគឃ័រកំពុងតែប្រើ open-source rootkit ឈ្មោះ Reptile ប្រហារលើប្រព័ន្ធលីនុចនៅប្រទេសកូរ៉េខាងត្បូង។មជ្ឈមណ្ឌលឆ្លើយតបរហ័សផ្នែកសន្តិសុខ AhnLab (ASEC) ថ្លែងនៅក្នុងរបាយការណ៍ កាលពីសប្តាហ៍េនះថា មិនដូចមេរោគ rootkit ផ្សេងដែលមានត្រឹមតែសមត្ថភាពលាក់ខ្លួនប៉ុណ្ណោះទេ មេរោគ Reptile បោះជំហានទៅឆ្ងាយជាងនេះដោយការផ្តល់នូវ reverse shell ដែលអនុញ្ញាតឱ្យហេគឃ័រអាចគ្រប់គ្រងលើប្រព័ន្ធយ៉ាងងាយ។ Port knocking គឺជាវិធីសាស្រ្តដែលមេរោគបើកផតជាក់លាក់នៅលើប្រព័ន្ធឆ្លងមេរោគ និងដាក់ទីតាំងប្រចាំការ។
នៅពេលហេគឃ័រផ្ញើ magic packet ទៅកាន់ប្រព័ន្ធ packet ដែលទទួលត្រូវប្រើជាមូលដ្ឋានដើម្បីបង្កើតការទាក់ទងជាមួយ C&C server។ Rootkit គឺជាកម្មវិធីមេរោគមួយដែលត្រូវបង្កើតឡើងដើម្បីផ្តល់នូវសិទ្ធិពិសេស កម្រិតនៃដំណើរការលើម៉ាសុីនខណៈពេលមិនបង្ហាញពីវត្តមានរបស់វា។ ចុងក្រោយយុទ្ធនាការផ្សេងគ្នាចំនួន៤ បង្កើតជាមេរោគ Reptile តាំងពីឆ្នាំ២០២២។
ដំណាក់កាលដំបូងនៃ rootkit ត្រូវកត់ត្រាដោយក្រុមហ៊ុន Trend Micro កាលពីខែឧសភា ឆ្នាំ២០២២ ទាក់ទងនឹងបណ្តុំនៃការប្រហារឈ្មោះ Earth Berberoka (aka GamblingPuppet) ដែលត្រូវរកឃើញថាប្រើមេរោគ malware ដើម្បីលាក់ការទាក់ទង និងដំណើរការមេរោគ Python trojan ឆ្លងផ្លេតហ្វម ឈ្មោះ Pupy RAT នៅក្នុងការប្រហារលើទីតាំង (sites) ហេ្គមនៅប្រទេសចិន។ បន្ទាប់មក នៅខែមីនា ឆ្នាំ២០២៣ ក្រុមហ៊ុន Google ដែលមានទីតាំងនៅ Mandiant លម្អិតថាការវាយប្រហារកើនឡើងដោយទាក់ទងនឹងហេគឃ័រចិនឈ្មោះ UNC3886 ដែលប្រើកំហុស zero-day នៅក្នុងកម្មវិធី Fortinet ដើម្បីដាក់ពង្រាយមេរោគក៏ដូចជា Reptile។
ក្រុមហ៊ុន ExaTrack បង្ហាញថា ក្រុមហេគឃ័រចិនប្រើមេរោគលីនុចឈ្មោះ Melofee ដែលមានមូលដ្ឋានលើ Reptile។ កាលពីខែមិថុនា ឆ្នាំ២០២៣ ការឆបោកបែប cryptojacking រកឃើញដោយក្រុមហ៊ុន Microsoft លើប្រើ shell script backdoor ដើម្បីដោនឡូត Reptile ក្នុងបំណងលាក់ដំណើរការ ឯកសារ ឬ content របស់ពួកគេ។ ការពិនិត្យនៃ Reptile បង្ហាញពីការប្រើ loader ដែលប្រើធូលឈ្មោះ kmatryoshka ដើម្បីឌីគ្រីប និងឡដ kernel module នៅក្នុងអង្គចងចាំរបស់ rootkit បន្ទាប់មកវាបើកផតជាក់លាក់ និងរង់ចាំហេគឃ័របញ្ជូន magic packet ដើម្បីបង្ហោះ (host) លើប្រូតូកូលដូចជា TCP, UDP, ឬICMP។ ទិន្នន័យទទួលតាមរយៈ magic packet មានផ្ទុកអាសយដ្ឋាន C&C server បើយោងតាមសំដី ASEC (ដោយផ្អែកលើ reverse shell ភ្ជាប់ទៅកាន់ C&C server)។ គួរកត់សម្គាល់ដែរថា ការប្រើ magic packet ដើម្បីបើកដំណើរការ (activate) សកម្មភាពអាក្រក់នោះត្រូវតាមដាននៅក្នុង rootkit ផ្សេងឈ្មោះ Syslogk ដែលត្រូវចងក្រងជាឯកសារកាលពីឆ្នាំមុនដោយ Avast។
ក្រុមហ៊ុនសន្តិសុខកូរ៉េខាងត្បូងថ្លែងថា វាក៏រកឃើញករណីប្រហារនៅក្នុងប្រទេសដែលពាក់ព័ន្ធនឹងការប្រើ Reptile ដែលប្រើបច្ចេកទេសមួយចំនួនស្រដៀងគ្នានឹង Melofee។ ASEC បន្តថា Reptile គឺជាមេរោគ Linux kernel mode rootkit ដែលមានសមត្ថភាពលាក់ឯកសារ, directories, ដំណើរការ និងទំនាក់ទំនងណេតវក។ ប៉ុន្តែ Reptile ខ្លួនវាក៏ផ្តល់នូវ reverse shell ដែលបង្កើតនូវប្រព័ន្ធ Reptile មួយដែលងាយនឹងត្រូវដណ្តើមពីហេគឃ័រ។
ព័ត៌មានស្តីពីការកេងចំណេញរបស់ Reptile កើតមាន បន្ទាប់ពីក្រុមហ៊ុន Trend Micro ថ្លែងថា វារកឃើញអញ្ញត្តិថ្មីចម្រុះនៃទ្វារក្រោយដែលប្រហារលើលីនុចឈ្មោះ BPFDoot ដែលត្រូវដាក់ចេញដោយក្រុមហេគឃ័រចិនឈ្មោះ Red Menshen (aka DecisiveArchitect or Red Dev 18)។ ក្រុមហ៊ុនបន្តថា Red Menshen វិវឌ្ឍ BPF filters ជាមួយនឹងការបង្កើនសមត្ថភាពដល់ទៅ ៦ដង (six-fold) នៅក្នុងការណែនាំកម្មវិធី BPF របស់ពួកគេ បើសិនជាប្រៀបទៅនឹងគម្រូដែលរកឃើញកាលពីឆ្នាំ២០២២។ រឿងនេះបង្ហាញយ៉ាងច្បាស់ពីសញ្ញានៃ BPFDoor ថាកំពុងតែស្ថិតក្រោមការអភិវឌ្ឍដ៏សកម្ម និងបង្ហាញពីភាពជោគជ័យគ្រប់គ្រាន់ក្នុងការប្រហារ ដើម្បីទទួលការវិនិយោគលើការអភិវឌ្ឍមេរោគ៕
