26 février 2025Ravie LakshmananSécurité Linux / Point final

Les universités et les organisations gouvernementales en Amérique du Nord et en Asie ont été ciblées par un logiciel malveillant Linux auparavant sans papiers appelé Auto Color entre novembre et décembre 2024, selon de nouvelles conclusions de Palo Alto Networks Unit 42.

“Une fois installé, la couleur automatique permet aux acteurs de menace un accès à distance complet aux machines compromises, ce qui rend très difficile la supprimer sans logiciel spécialisé”, a déclaré le chercheur en sécurité Alex Armstrong dit Dans une rédaction technique du malware.

Cybersécurité

La couleur automatique est ainsi nommée en fonction du nom du fichier Les renommés de charge utile initiaux lui-même. On ne sait actuellement pas comment il atteint ses objectifs, mais ce qui est sant, c’est qu’il oblige la victime à l’exécuter explicitement sur leur machine Linux.

Un aspect notable du malware est l’arsenal des astuces qu’il utilise pour échapper à la détection. Cela comprend l’utilisation de noms de fichiers apparemment innoculés comme la porte ou l’œuf, la dissimulation des connexions de commande et de contrôle (C2) et de tirer parti des algorithmes de chiffrement propriétaires pour le masquage des informations de communication et de configuration.

Une fois lancé avec des privilèges racine, il continue d’installer un implant de bibliothèque malveillant nommé “libcext.so.2”, copies et renommés à / var / log / cross / auto-couleur, et apporte des modifications à “/etc/ld.preload” pour établir une persistance sur l’hôte.

“Si l’utilisateur actuel manque de privilèges racine, le malware ne procédera pas à l’installation de l’implant de bibliothèque évasif sur le système”, a déclaré Armstrong. “Il se produira autant que possible dans ses phases ultérieures sans cette bibliothèque.”

L’implant de bibliothèque est équipé pour accrocher passivement les fonctions utilisées dans libc pour intercepter le appel système ouvert ()qu’il utilise pour masquer les communications C2 en modifiant “/ proc / net / tcp”, un fichier qui contient des informations sur toutes les connexions réseau actives. Une technique similaire a été adoptée par un autre logiciel malveillant Linux appelé Symbiote.

Cybersécurité

Il empêche également la désinstallation des logiciels malveillants en protégeant le “/etc/ld.preload” contre la modification ou la suppression supplémentaire.

Auto-Color procède ensuite à contacter un serveur C2, accordant à l’opérateur la possibilité d’apparaître un shell inversé, de collecter des informations système, de créer ou de modifier des fichiers, d’exécuter des programmes, d’utiliser la machine comme indicateur de communication entre une adresse IP distante et une adresse IP cible spécifique, et même de s’installer au moyen d’un commutateur de mise à mort.

“Lors de l’exécution, le logiciel malveillant tente de recevoir des instructions distantes d’un serveur de commandes qui peut créer des arrière-oreurs à coque inverse sur le système de la victime”, a déclaré Armstrong. “Les acteurs de la menace compilent et cryptent séparément chaque serveur de commandes IP à l’aide d’un algorithme propriétaire.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57