Auto-Color」と名付けられたこれまで文書化されていなかったLinuxバックドアが、2024年11月から12月にかけて、北米とアジアの大学や政府機関を標的とした攻撃で観測された。
このマルウェアを発見したパロアルトネットワークスのUnit 42の研究者によると、このマルウェアは非常に回避能力が高く、感染したシステムから削除するのが困難で、長期間アクセスを維持することが可能だという。
このマルウェアは、2022年にBlackBerry社によって初めて文書化されたSymbiote Linuxマルウェア・ファミリーといくつかの類似点がありますが、両者は互いに異なるものです。
回避可能なLinuxの脅威
Unit 42は最初の感染ベクターを可視化していないが、攻撃は “door”、”egg”、”log “といった良性の名前で偽装されたファイルの実行から始まる。
マルウェアがroot権限で実行されると、正規のlibcext.so.0ライブラリに偽装した悪意のあるライブラリインプラント(libcext.so.2)をインストールし、自身をシステムディレクトリ(/var/log/cross/auto-color)にコピーし、他のシステムライブラリよりも先にインプラントが実行されるように「/etc/ld.preload」を変更します。
ルート・アクセスが利用できない場合、マルウェアは依然として実行されるが、永続的なメカニズムはスキップされる。このため、長期的な影響は限定的ですが、他の手段でrootを取得できる可能性のある脅威行為者にリモートアクセスを提供することに変わりはありません。
Source:Unit 42
Auto-Colorは、カスタム暗号化アルゴリズムを使用してコマンド&コントロール(C2)サーバー情報を復号化し、ランダムな16バイト値のハンドシェイクを介して交換を検証します。
カスタム暗号化は、C2サーバーのアドレス、設定データ、ネットワーク・トラフィックの難読化に使用され、暗号化キーはリクエストごとに動的に変化するため、検出がより困難になります。
接続が確立されると、C2 は Auto-Color に以下のいずれかのアクションを実行させることができます:
- リバースシェルを開き、オペレーターに完全なリモートアクセスを許可する。
- システム上で任意のコマンドを実行する。
- 感染を拡大するためにファイルを変更または作成する。
- プロキシとして動作し、攻撃者のトラフィックを転送する。
- 構成を動的に変更します。
ソースがサポートするコマンド:ユニット 42
Auto-Colorは、システムコールを傍受するためにlibc関数をフックするなど、ルートキット的な機能も備えており、/proc/net/tcpファイルを変更することでC2接続を隠すために使用する。
Unit 42によると、Auto-Colorには「キルスイッチ」も組み込まれており、攻撃者は感染したマシンから感染痕跡を即座に削除して調査を妨害することができる。
防御方法
ステルス性、モジュール設計、およびリモートコントロール機能を考えると、Auto-ColorはLinuxシステム、特に今回観測された攻撃の対象となった政府機関や学術機関のシステムにとって深刻な脅威である。
Unit 42は、重要な永続化メカニズムである’/etc/ld.preload’の変更を監視し、’/proc/net/tcp’の出力異常をチェックし、ビヘイビアベースの脅威検出ソリューションを使用することを提案している。
研究者はまた、レポートの下部に侵害の指標(IoC)をリストアップしているので、リストアップされたC2 IPへの接続についてシステムログとネットワークトラフィックを検査することも重要である。
Comments