Univerzity a vládní organizace v Severní Americe a Asii byly mezi listopadem a prosincem 2024 cílem dosud nezdokumentovaného Linuxového malwaru nazvaného Auto-Color, podle nových zjištění od Palo Alto Networks Unit 42.

„Jakmile je Auto-Color nainstalován, umožňuje útočníkům plný vzdálený přístup k napadeným strojům, což činí jeho odstranění velmi obtížným bez specializovaného softwaru,“ uvedl bezpečnostní výzkumník Alex Armstrong v technickém popisu malwaru.

Auto-Color získal své jméno podle názvu souboru, na který se původní škodlivý kód přejmenuje po instalaci. Zatím není známo, jak se malware dostává ke svým cílům, ale je známo, že vyžaduje, aby oběť explicitně spustila škodlivý kód na svém Linuxovém zařízení.

Pozoruhodným aspektem tohoto malwaru je arzenál triků, které používá k vyhnutí se detekci. To zahrnuje použití zdánlivě neškodných názvů souborů, jako jsou „door“ nebo „egg“, skrývání připojení ke command-and-control (C2) serverům a využívání proprietárních šifrovacích algoritmů k maskování komunikace a konfiguračních informací.

Po spuštění s právy roota malware nainstaluje škodlivou knihovnu nazvanou „libcext.so.2“, zkopíruje se a přejmenuje na „/var/log/cross/auto-color“ a provede úpravy v souboru „/etc/ld.preload“, aby si zajistil trvalou přítomnost na hostitelském systému.

„Pokud aktuální uživatel nemá práva roota, malware nepokračuje v instalaci této škodlivé knihovny na systém,“ uvedl Armstrong. „Pokračuje však v dalších fázích, jak jen to je možné, bez této knihovny.“

Knihovna je navržena tak, aby pasivně připojovala funkce používané v libc a zachytávala systémové volání open(), které využívá k ukrytí C2 komunikace úpravou souboru „/proc/net/tcp“, jenž obsahuje informace o všech aktivních síťových připojeních. Podobnou techniku použil i jiný Linuxový malware nazvaný Symbiote.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS