根據Palo Alto Networks Unit 42的最新發現，北美洲和亞洲的大學及政府機構在2024年11月至12月期間遭受了一種名為Auto-Color的Linux系統惡意軟件攻擊。

“一旦安裝，Auto-Color允許威脅行為者完全遠程訪問受感染的機器，這使得在沒有專用軟件的情況下很難移除它，”安全研究員Alex Armstrong在對該惡意軟件的技術說明中表示。

Auto-Color的工作原理與攻擊目標

Auto-Color的命名源自初始有效載荷在安裝后重命名的文件名。目前尚不清楚它是如何到達其目標的，但已知的是它需要受害者在他們的Linux機器上顯式運行它。

該惡意軟件的一個顯著特點是它用來逃避檢測的諸多技巧。這包括使用看似無害的文件名（如door或egg），隱藏命令和控制（C2）連接，以及利用專有加密算法來掩蓋通信和配置信息。

一旦以root權限啟動，它會安裝一個名為“libcext.so.2”的惡意庫，將自己復制并重命名為/var/log/cross/auto-color，并修改“/etc/ld.preload”以確保在主機上持久存在。

“如果當前用戶沒有root權限，惡意軟件將不會繼續在系統上安裝逃避檢測的庫，”Armstrong說。“它會在后續階段盡可能多地執行操作，而不依賴這個庫。”

Auto-Color的高級功能與自我保護機制

該庫能夠被動地hook libc中使用的函數，以攔截open()系統調用，并通過修改“/proc/net/tcp”來隱藏C2通信，該文件包含所有活動網絡連接的信息。類似的策略也被另一個名為Symbiote的Linux惡意軟件所采用。

它還通過保護“/etc/ld.preload”防止進一步修改或刪除，從而阻止惡意軟件的卸載。

Auto-Color隨后會聯系C2服務器，授予操作者生成反向shell、收集系統信息、創建或修改文件、運行程序、將機器用作遠程IP地址與特定目標IP地址之間的通信代理，甚至通過kill開關自行卸載的能力。

“在執行時，惡意軟件試圖從命令服務器接收遠程指令，該服務器可以在受害者的系統上創建反向shell后門，”Armstrong表示。“威脅行為者使用專有算法分別編譯和加密每個命令服務器的IP。”