Auto-Color: il nuovo malware Linux, minaccia governi e università

Un nuovo backdoor Linux, chiamato Auto-Color, è stato recentemente individuato in attacchi informatici che hanno preso di mira università e organizzazioni governative in Nord America e Asia tra novembre e dicembre 2024. Scoperto dai ricercatori di Unit 42 di Palo Alto Networks, questo malware è altamente elusivo e difficile da rimuovere dai sistemi compromessi, riuscendo a mantenere l'accesso alle macchine per lunghi periodi senza essere rilevato.

Sebbene Auto-Color presenti alcune somiglianze con il malware Linux Symbiote, già documentato nel 2022 da BlackBerry, le due minacce sono distinte. Il malware si diffonde tramite l'esecuzione di file mascherati con nomi innocui come "door", "egg" e "log". Quando viene eseguito con privilegi di root, Auto-Color installa un impianto di libreria dannoso, camuffato da libreria legittima (libcext.so.0), e si copia in una directory di sistema (/var/log/cross/auto-color), modificando il file '/etc/ld.preload' per garantire che il suo impianto venga eseguito prima di qualsiasi altra libreria di sistema.

Anche senza l'accesso root, il malware può comunque operare, ma senza meccanismi persistenti, limitando l'impatto a lungo termine, ma comunque offrendo l'accesso remoto agli aggressori, che potrebbero ottenere privilegi di root attraverso altre tecniche. Il malware utilizza una crittografia personalizzata per offuscare i dati di comunicazione con il server di comando e controllo (C2), rendendo più difficile il rilevamento del traffico di rete e dei dettagli del server C2. Inoltre, la chiave di crittografia cambia dinamicamente a ogni richiesta, complicando ulteriormente il monitoraggio.

Auto Color ha anche un kill switch integrato

Una volta stabilita la connessione con il server C2, Auto-Color può eseguire diverse azioni, come aprire una shell inversa per il controllo remoto completo del sistema, eseguire comandi arbitrari, espandere l'infezione, agire come proxy o modificare dinamicamente la sua configurazione. Inoltre, dispone di funzionalità di rootkit, come l'hooking delle funzioni libc, che gli permette di nascondere le connessioni C2, modificando il file /proc/net/tcp.

Unit 42 ha anche scoperto che Auto-Color è dotato di un kill switch integrato, che consente agli aggressori di eliminare immediatamente le tracce di infezione per ostacolare le indagini. A causa della sua furtività e delle capacità di controllo remoto, Auto-Color rappresenta una minaccia significativa, in particolare per i sistemi Linux in ambienti governativi e accademici.

Gli esperti suggeriscono di monitorare le modifiche a file cruciali come /etc/ld.preload e /proc/net/tcp, oltre a utilizzare soluzioni di rilevamento delle minacce basate sul comportamento. La sorveglianza dei registri di sistema e del traffico di rete per identificare eventuali connessioni a indirizzi IP C2 è fondamentale per individuare infezioni precoci.