Universitas dan organisasi pemerintah di Amerika Utara dan Asia telah ditargetkan oleh malware Linux yang sebelumnya tidak berdokumen yang disebut auto-color antara November dan Desember 2024, menurut temuan baru dari Palo Alto Networks Unit 42.
“Setelah terpasang, warna otomatis memungkinkan aktor ancaman akses jarak jauh penuh ke mesin yang dikompromikan, sehingga sangat sulit untuk dihapus tanpa perangkat lunak khusus,” kata peneliti keamanan Alex Armstrong dalam penulisan teknis malware.
Auto-color dinamai demikian berdasarkan nama file. Payload awal mengganti nama sendiri instalasi. Saat ini tidak diketahui bagaimana mencapai targetnya, tetapi yang diketahui adalah bahwa ia mengharuskan korban untuk secara eksplisit menjalankannya di mesin Linux mereka.
Aspek penting dari malware adalah gudang trik yang digunakannya untuk menghindari deteksi. Ini termasuk menggunakan nama file yang tampaknya tidak berbahaya seperti pintu atau telur, menyembunyikan koneksi perintah-dan-kontrol (C2), dan memanfaatkan algoritma enkripsi hak milik untuk menutupi komunikasi dan informasi konfigurasi.
Setelah diluncurkan dengan hak istimewa root, ia mulai memasang implan perpustakaan berbahaya bernama “libcext.so.2,” salinan dan mengganti nama itu menjadi/var/log/cross/auto-color, dan membuat modifikasi menjadi “/etc/ld.preload “Untuk membangun ketekunan pada tuan rumah.
“Jika pengguna saat ini tidak memiliki hak istimewa root, malware tidak akan melanjutkan dengan instalasi implan perpustakaan Evasive pada sistem,” kata Armstrong. “Ini akan melanjutkan untuk melakukan sebanyak mungkin di fase selanjutnya tanpa perpustakaan ini.”
Implan pustaka dilengkapi untuk fungsi kait secara pasif yang digunakan dalam LIBC untuk mencegat panggilan sistem terbuka (), yang digunakannya untuk menyembunyikan komunikasi C2 dengan memodifikasi “/proc/net/tcp,” file yang berisi informasi tentang semua koneksi jaringan aktif. Teknik serupa diadopsi oleh malware Linux lain yang disebut Symbiote.
Ini juga mencegah uninstalasi malware dengan melindungi “/etc/ld.preload” terhadap modifikasi atau penghapusan lebih lanjut.
Auto-color kemudian melanjutkan untuk menghubungi server C2, memberikan operator kemampuan untuk menelurkan shell terbalik, mengumpulkan informasi sistem, membuat atau memodifikasi file, menjalankan program, menggunakan mesin sebagai proxy untuk komunikasi antara alamat IP jarak jauh dan spesifik Alamat IP target, dan bahkan menghapus pemasangan dirinya dengan menggunakan sakelar membunuh.
“Setelah dieksekusi, malware berupaya menerima instruksi jarak jauh dari server perintah yang dapat membuat backdoors shell terbalik pada sistem korban,” kata Armstrong. “Aktor ancaman secara terpisah mengkompilasi dan mengenkripsi setiap server perintah IP menggunakan algoritma berpemilik.”
