Università e organizzazioni governative nel mirino di Auto-Color: un malware Linux mai documentato prima
Tra novembre e dicembre 2024, università e organizzazioni governative in Nord America e Asia sono state bersaglio di un malware Linux mai documentato prima, chiamato Auto-Color. Secondo le nuove scoperte di Palo Alto Networks Unit 42, una volta installato, Auto-Color consente agli attori malevoli di avere pieno accesso remoto alle macchine compromesse, rendendo la sua rimozione estremamente difficile senza software specializzati.
Caratteristiche e modalità di attacco di Auto-Color
Il malware Auto-Color prende il nome dal file che il payload iniziale rinomina dopo l’installazione. Sebbene non sia ancora chiaro come raggiunga i suoi obiettivi, è noto che richiede che la vittima lo esegua esplicitamente sulla propria macchina Linux. Un aspetto notevole del malware è l’arsenale di trucchi che utilizza per eludere la rilevazione, tra cui l’uso di nomi di file apparentemente innocui come “door” o “egg”, la dissimulazione delle connessioni di comando e controllo (C2) e l’uso di algoritmi di crittografia proprietari per mascherare le comunicazioni e le informazioni di configurazione.
Persistenza e tecniche di evasione
Una volta lanciato con privilegi di root, Auto-Color procede a installare una libreria malevola chiamata “libcext.so.2”, copia e rinomina se stesso in “/var/log/cross/auto-color” e modifica “/etc/ld.preload” per stabilire la persistenza sull’host. Se l’utente corrente non dispone di privilegi di root, il malware non procederà con l’installazione della libreria evasiva, ma cercherà comunque di eseguire il maggior numero possibile di operazioni nelle fasi successive senza di essa.
Intercettazione e protezione delle comunicazioni
La libreria installata è progettata per agganciare passivamente le funzioni utilizzate in libc per intercettare la chiamata di sistema open(), che utilizza per nascondere le comunicazioni C2 modificando “/proc/net/tcp”, un file che contiene informazioni su tutte le connessioni di rete attive. Una tecnica simile è stata adottata da un altro malware Linux chiamato Symbiote. Inoltre, impedisce la disinstallazione del malware proteggendo “/etc/ld.preload” da ulteriori modifiche o rimozioni.
Controllo remoto e funzionalità avanzate
Auto-Color contatta un server C2, consentendo all’operatore di generare una shell inversa, raccogliere informazioni sul sistema, creare o modificare file, eseguire programmi, utilizzare la macchina come proxy per la comunicazione tra un indirizzo IP remoto e un indirizzo IP target specifico, e persino disinstallarsi tramite un interruttore di spegnimento. Al momento dell’esecuzione, il malware tenta di ricevere istruzioni remote da un server di comando che può creare backdoor di shell inversa sul sistema della vittima. Gli attori malevoli compilano e crittografano separatamente ogni indirizzo IP del server di comando utilizzando un algoritmo proprietario.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
