Το Auto-Color είναι ένα νέο κακόβουλο λογισμικό που στοχεύει συστήματα Linux, επιτρέποντας στους επιτιθέμενους πλήρη απομακρυσμένη πρόσβαση σε μολυσμένα μηχανήματα. Ανακαλύφθηκε από την ομάδα Unit 42 της Palo Alto Networks μεταξύ Νοεμβρίου και Δεκεμβρίου 2024, με επιθέσεις να καταγράφονται κυρίως σε πανεπιστήμια και κυβερνητικούς οργανισμούς στη Βόρεια Αμερική και την Ασία.
Ένα από τα κύρια χαρακτηριστικά του Auto-Color είναι η ικανότητά του να αποφεύγει την ανίχνευση. Χρησιμοποιεί αθώα ονόματα αρχείων, όπως “door” ή “egg”, και εφαρμόζει προηγμένες τεχνικές απόκρυψης για τις συνδέσεις command-and-control (C2), παρόμοιες με αυτές που χρησιμοποιούνται από το κακόβουλο λογισμικό Symbiote. Επιπλέον, αξιοποιεί ιδιόκτητους αλγορίθμους κρυπτογράφησης για να αποκρύψει τις επικοινωνίες και τις πληροφορίες διαμόρφωσής του.
Κατά την εκτέλεση με δικαιώματα root, το Auto-Color εγκαθιστά μια κακόβουλη βιβλιοθήκη με το όνομα “libcext.so.2”, η οποία μιμείται τη νόμιμη βιβλιοθήκη “libcext.so.0”. Στη συνέχεια, αντιγράφει και μετονομάζει τον εαυτό του στο “/var/log/cross/auto-color” και τροποποιεί το αρχείο “/etc/ld.preload” για να διασφαλίσει την παραμονή του στο σύστημα. Αυτές οι ενέργειες του επιτρέπουν να παρεμβαίνει σε λειτουργίες του συστήματος, όπως η απόκρυψη των C2 επικοινωνιών μέσω της τροποποίησης του αρχείου “/proc/net/tcp”, το οποίο περιέχει πληροφορίες για όλες τις ενεργές δικτυακές συνδέσεις.
Εάν ο χρήστης δεν διαθέτει δικαιώματα root, το κακόβουλο λογισμικό παραλείπει την εγκατάσταση της κακόβουλης βιβλιοθήκης, αλλά συνεχίζει με άλλες κακόβουλες δραστηριότητες. Μόλις εγκατασταθεί, το Auto-Color συνδέεται με έναν διακομιστή C2, επιτρέποντας στον επιτιθέμενο να εκτελεί εντολές, να συλλέγει πληροφορίες συστήματος, να δημιουργεί ή να τροποποιεί αρχεία, να εκτελεί προγράμματα και να χρησιμοποιεί το μολυσμένο μηχάνημα ως διαμεσολαβητή (proxy) για επικοινωνία μεταξύ απομακρυσμένων IP διευθύνσεων. Διαθέτει επίσης μια λειτουργία “kill switch” που του επιτρέπει να αυτοκαταστραφεί.
Η ικανότητα του Auto-Color να παραμένει αόρατο και να διατηρεί επίμονη παρουσία το καθιστά ιδιαίτερα επικίνδυνο. Οι οργανισμοί που χρησιμοποιούν συστήματα Linux θα πρέπει να ενισχύσουν τα μέτρα ασφαλείας τους, να παρακολουθούν για ύποπτες δραστηριότητες και να εφαρμόζουν τακτικές ενημερώσεις λογισμικού για να προστατευθούν από τέτοιες απειλές.
Πηγές: TheHackerNews, PaloAltoNetworks
