Palo Alto Networks Birimi 42’den yeni bulgulara göre, Kuzey Amerika ve Asya’daki üniversiteler ve Hükümet kuruluşları, Kasım ve Aralık 2024 arasında otomatik renk olarak adlandırılan daha önce belgelenmemiş bir Linux kötü amaçlı yazılım tarafından hedef alınmıştır.
Güvenlik araştırmacısı Alex Armstrong, kötü amaçlı yazılımların teknik bir yazısında, “Kurulduktan sonra, otomatik renk tehdit aktörlerinin güvenliği ihlal edilmiş makinelere tam uzaktan erişimine izin vererek uzmanlaşmış yazılım olmadan kaldırmayı çok zorlaştırıyor.” Dedi.
Otomatik renk, ilk yükün kendisinin kurulum sonrası yeniden adlandırdığı dosya adına göre adlandırılır. Şu anda hedeflerine nasıl ulaştığı bilinmemektedir, ancak bilinen şey, kurbanın onu Linux makinelerinde açıkça çalıştırmasını gerektirmesidir.
Kötü amaçlı yazılımın dikkate değer bir yönü, tespitten kaçınmak için kullandığı hilelerin cephaneliğidir. Bu, kapı veya yumurta gibi görünüşte gizli dosya adlarının kullanılmasını, komut ve kontrol (C2) bağlantılarının gizlenmesini ve iletişim ve yapılandırma bilgilerini maskelemek için özel şifreleme algoritmalarından yararlanmayı içerir.
Kök ayrıcalıklarıyla başlatıldıktan sonra, “libcext.so.2” adlı kötü amaçlı bir kütüphane implantı yüklemeye devam eder,/var/log/cross/otomatik renk olarak kopyalar ve yeniden adlandırır ve “/etc/ld.preload” olarak değişiklik yapar. “Ev sahibi üzerinde kalıcılık oluşturmak için.
Armstrong, “Mevcut kullanıcının kök ayrıcalıklarından yoksunsa, kötü amaçlı yazılımlar sistem üzerindeki kaçan kütüphane implantının kurulumuna devam etmeyecektir.” Dedi. Diyerek şöyle devam etti: “Bu kütüphane olmadan daha sonraki aşamalarında mümkün olduğunca çok şey yapmaya devam edecek.”
Kütüphane implantı, tüm etkin ağ bağlantılarıyla ilgili bilgi içeren bir dosya olan “/PROC/Net/TCP” yi değiştirerek C2 iletişimini gizlemek için kullandığı açık () sistem çağrısını kesmek için LIBC’de kullanılan pasif olarak kanca işlevlerine donatılmıştır. Benzer bir teknik, Symbiote adlı başka bir Linux kötü amaçlı yazılım tarafından benimsenmiştir.
Ayrıca, “/etc/ld.preload” i daha fazla değişiklik veya kaldırmaya karşı koruyarak kötü amaçlı yazılımların kaldırılmasını önler.
Otomatik renk daha sonra bir C2 sunucusuna başvurmaya devam eder, operatöre bir ters kabuk oluşturma, sistem bilgileri toplama, dosyalar oluşturma veya değiştirme, programlar çalıştırma, makineyi bir uzak IP adresi ile belirli bir iletişim için bir proxy olarak kullanma olanağı verir. Hedef IP adresini hedefleyin ve hatta bir öldürme anahtarı vasıtasıyla kendini kaldırın.
Armstrong, “Yürütme üzerine, kötü amaçlı yazılım, kurbanın sisteminde ters kabuk arka kapı oluşturabilecek bir komut sunucusundan uzaktan talimatlar almaya çalışır.” Dedi. “Tehdit aktörleri, tescilli bir algoritma kullanarak her komut sunucusu IP’yi ayrı ayrı derler ve şifreler.”