Se ha detectado un backdoor de Linux previamente no documentado, denominado “Auto-Color”, que ha sido observado en ataques entre noviembre y diciembre de 2024, dirigido a universidades y organizaciones gubernamentales en América del Norte y Asia.
Detalles del Malware
Según los investigadores de Unit 42 de Palo Alto Networks que descubrieron el malware, Auto-Color es altamente evasivo y difícil de eliminar de los sistemas infectados, siendo capaz de mantener acceso durante períodos prolongados.
Aunque presenta algunas similitudes con la familia de malware Symbiote Linux, documentado por BlackBerry en 2022, ambos son distintos.
Cadena de Infección de Auto-Color
Unit 42 no tiene visibilidad sobre el vector de infección inicial, pero el ataque comienza con la ejecución de un archivo disfrazado con nombres benignos como “door”, “egg” y “log”.
Si el malware se ejecuta con privilegios de root, instala una biblioteca maliciosa (libcext.so.2), disfrazada como la legítima libcext.so.0, se copia a un directorio del sistema (/var/log/cross/auto-color) y modifica ‘/etc/ld.preload’ para garantizar que la biblioteca maliciosa se ejecute antes que cualquier otra biblioteca del sistema.
Si no se tienen privilegios de root, el malware aún se ejecuta pero omite los mecanismos persistentes. Aunque esto limita su impacto a largo plazo, todavía proporciona acceso remoto a los actores de amenazas, quienes podrían obtener acceso root a través de otros medios.
Características de Auto-Color
- Encriptación personalizada: Auto-Color descifra la información del servidor de comando y control (C2) utilizando un algoritmo de encriptación personalizado y valida el intercambio mediante un “handshake” con un valor aleatorio de 16 bytes.
- Modificaciones dinámicas: El C2 puede ordenar a Auto-Color realizar diversas acciones, como abrir una reverse shell, ejecutar comandos arbitrarios, modificar o crear archivos para expandir la infección, actuar como un proxy o modificar su configuración dinámicamente.
- Rootkit: Auto-Color tiene características propias de un rootkit, como la interceptación de funciones de libc para ocultar las conexiones C2 modificando el archivo /proc/net/tcp.
Mecanismo de “Kill Switch”
Unit 42 también señala que Auto-Color cuenta con un “kill switch” que permite a los atacantes eliminar inmediatamente las huellas de la infección en las máquinas comprometidas para dificultar las investigaciones.
¿Cómo Defenderse? ⚔️
Dado su diseño sigiloso, modular y sus características de control remoto, Auto-Color representa una amenaza seria para los sistemas Linux, especialmente para aquellos en entornos gubernamentales y académicos que fueron el objetivo de los ataques observados.
Unit 42 sugiere:
- Monitorear cambios en ‘/etc/ld.preload’, que es un mecanismo clave de persistencia.
- Revisar ‘/proc/net/tcp’ en busca de anomalías en las conexiones.
- Utilizar soluciones de detección de amenazas basadas en comportamiento.
Además, los investigadores han listado los indicadores de compromiso (IoCs) al final del informe, por lo que es crucial inspeccionar los registros del sistema y el tráfico de red en busca de conexiones a las IPs de C2 listadas.