Une porte dérobée Linux précédemment non documentée surnommée « Auto-Color » a été observée lors d’attaques entre novembre et décembre 2024, ciblant des universités et des organisations gouvernementales en Amérique du Nord et en Asie.
Selon les chercheurs de l’Unité 42 de Palo Alto Networks qui ont découvert le malware, il est très évasif et difficile à supprimer des systèmes infectés, capable de maintenir l’accès pendant de longues périodes.
Le logiciel malveillant présente certaines similitudes avec la famille de logiciels malveillants Symbiote Linux, qui a été documentée pour la première fois par BlackBerry en 2022, mais les deux sont distincts l’un de l’autre.
Menace évasive pour Linux
L’unité 42 n’a pas de visibilité sur le vecteur d’infection initial, mais l’attaque commence par l’exécution d’un fichier déguisé avec des noms bénins tels que »porte », « œuf » et « journal ». »
Si le malware s’exécute avec les privilèges root, il installe un implant de bibliothèque malveillant (libcext. so. 2), déguisé en bibliothèque libcext.so. 0 légitime, se copie dans un répertoire système (/var/log/cross/auto-color), et modifie ‘/etc / ld.préchargez ‘ pour vous assurer que l’implant s’exécute avant toute autre bibliothèque système.
Si l’accès root n’est pas disponible, le malware s’exécute toujours mais ignore les mécanismes persistants. Bien que cela limite son impact à long terme, il fournit toujours un accès à distance aux acteurs de la menace qui peuvent être en mesure de s’enraciner par d’autres moyens.
Auto-Color déchiffre les informations du serveur de commande et de contrôle (C2) à l’aide d’un algorithme de chiffrement personnalisé et valide l’échange via une négociation de valeur aléatoire de 16 octets.
Le chiffrement personnalisé est utilisé pour obscurcir les adresses de serveur C2, les données de configuration et le trafic réseau, tandis que la clé de chiffrement change dynamiquement à chaque demande pour rendre la détection plus difficile.
Une fois la connexion établie, le C2 peut ordonner à Auto-Color d’effectuer l’une des actions suivantes:
- Ouvrez un shell inversé, permettant aux opérateurs un accès à distance complet.
- Exécuter des commandes arbitraires sur le système.
- Modifiez ou créez des fichiers pour étendre l’infection.
- Agissez en tant que proxy, transmettant le trafic des attaquants.
- Modifiez sa configuration dynamiquement.
Auto-Color possède également des fonctionnalités de type rootkit comme l’accrochage des fonctions libc pour intercepter les appels système, qu’il utilise pour masquer les connexions C2 en modifiant le fichier /proc/net/tcp.
L’unité 42 indique qu’Auto-Color dispose également d’un « coupe-circuit » intégré, qui permet aux attaquants de supprimer immédiatement les traces d’infection des machines compromises pour entraver les enquêtes.
Comment se défendre
Compte tenu de sa furtivité, de sa conception modulaire et de ses fonctionnalités de contrôle à distance, Auto-Color constitue une menace sérieuse pour les systèmes Linux, en particulier ceux des environnements gouvernementaux et universitaires ciblés par les attaques observées.
L’unité 42 suggère de surveiller les modifications apportées à ‘ / etc / ld.préchargement, « qui est un mécanisme de persistance clé, vérifiant » / proc / net / tcp » pour détecter les anomalies de sortie et utilisant des solutions de détection des menaces basées sur le comportement.
Les chercheurs ont également répertorié les indicateurs de compromission (IOC) au bas du rapport, de sorte qu’il est également crucial d’inspecter les journaux système et le trafic réseau pour les connexions aux adresses IP C2 répertoriées.