Palo Alto Networks Birimi 42’den yeni bulgulara göre, Kuzey Amerika ve Asya’daki üniversiteler ve Hükümet kuruluşları, Kasım ve Aralık 2024 arasında otomatik renk olarak adlandırılan daha önce belgelenmemiş bir Linux kötü amaçlı yazılım tarafından hedef alınmıştır.
Güvenlik araştırmacısı Alex Armstrong, “Otomatik renk, tehdit aktörlerinin tehlikeye atılmış makinelere tam uzaktan erişimine izin vererek, özel yazılım olmadan kaldırılmasını çok zorlaştırıyor.” söz konusu Kötü amaçlı yazılımların teknik bir yazısında.
Otomatik renk, ilk yükün kendisinin kurulum sonrası yeniden adlandırdığı dosya adına göre adlandırılır. Şu anda hedeflerine nasıl ulaştığı bilinmemektedir, ancak bilinen şey, kurbanın onu Linux makinelerinde açıkça çalıştırmasını gerektirmesidir.
Kötü amaçlı yazılımın dikkate değer bir yönü, tespitten kaçınmak için kullandığı hilelerin cephaneliğidir. Bu, kapı veya yumurta gibi görünüşte gizli dosya adlarının kullanılmasını, komut ve kontrol (C2) bağlantılarının gizlenmesini ve iletişim ve yapılandırma bilgilerini maskelemek için özel şifreleme algoritmalarından yararlanmayı içerir.
Kök ayrıcalıklarıyla başlatıldıktan sonra, “libcext.so.2” adlı kötü amaçlı bir kütüphane implantı yüklemeye devam eder,/var/log/cross/otomatik renk olarak/var/log/cross/otomatik renk olarak yeniden adlandırır ve “/etc/ld.preload” olarak ev sahibi üzerinde kalıcılık oluşturmak için değişiklikler yapar.
Armstrong, “Mevcut kullanıcının kök ayrıcalıklarından yoksunsa, kötü amaçlı yazılımlar sistem üzerindeki kaçan kütüphane implantının kurulumuna devam etmeyecektir.” Dedi. Diyerek şöyle devam etti: “Bu kütüphane olmadan daha sonraki aşamalarında mümkün olduğunca çok şey yapmaya devam edecek.”
Kütüphane implantı, içinde kullanılan pasif kanca işlevlerine donatılmıştır. LIBC engellemek için Open () Sistem Çağrısıtüm etkin ağ bağlantıları hakkında bilgi içeren bir dosya olan “/proc/net/tcp” i değiştirerek C2 iletişimini gizlemek için kullanır. Benzer bir teknik, Symbiote adlı başka bir Linux kötü amaçlı yazılım tarafından benimsenmiştir.
Ayrıca, “/etc/ld.preload” i daha fazla değişiklik veya kaldırmaya karşı koruyarak kötü amaçlı yazılımların kaldırılmasını önler.
Otomatik renk daha sonra bir C2 sunucusuna başvurmaya devam eder, operatöre bir ters kabuk oluşturma, sistem bilgileri toplama, dosyalar oluşturma veya değiştirme, programlar çalıştırma, makineyi bir uzak IP adresi ve belirli bir hedef IP adresi arasında iletişim için bir proxy olarak kullanma ve hatta bir öldürme anahtarı ile kendisini kaldırma yeteneği verir.
Armstrong, “Yürütme üzerine, kötü amaçlı yazılım, kurbanın sisteminde ters kabuk arka kapı oluşturabilecek bir komut sunucusundan uzaktan talimatlar almaya çalışır.” Dedi. “Tehdit aktörleri, tescilli bir algoritma kullanarak her komut sunucusu IP’yi ayrı ayrı derler ve şifreler.”
