«Після встановлення Auto-Color надає зловмисникам повний віддалений доступ до зламаних машин, тому видалити його без спеціалізованого ПЗ вкрай складно», – розповідають дослідники.

Auto-Color названо за ім’ям файлу, у який перейменовується вихідне корисне навантаження малварі після встановлення. Наразі невідомо, як саме бекдор проникає в системи жертв, але повідомляється, що він вимагає від жертви явного запуску на Linux-машині.

Відмінною особливістю цієї малварі є арсенал прийомів, які вона використовує для ухилення від виявлення. Серед них: використання нешкідливих на перший погляд імен файлів (наприклад, door або egg), приховування C&C-комунікацій і використання власних алгоритмів шифрування для маскування комунікаційної та конфігураційної інформації.

Після запуску з привілеями root Auto-Color встановлює шкідливий імплант libcext.so.2, копіює себе і перейменовує в /var/log/cross/auto-color, а також вносить зміни в файл /etc/ld.preload, щоб закріпитися на зараженому хості.

“Якщо поточний користувач не володіє правами root, шкідлива програма не буде продовжувати встановлення імплантату в систему. На наступних етапах вона робитиме все можливе без цієї бібліотеки”, – кажуть експерти.

Згаданий імплант оснащений пасивними hook-функціями, використовуваними в libc для перехоплення системних викликів open(), які малварь використовує для приховування C&C-комунікацій шляхом модифікації файлу /proc/net/tcp, що містить інформацію про всі активні мережеві з’єднання. Зазначається, що аналогічну тактику раніше застосовувала інша Linux-шахрайство – Symbiote, виявлена 2022 року.

“Після виконання шкідлива програма намагається отримати інструкції від керуючого сервера, який здатний створити в системі жертви реверс-шелл бекдори. При цьому атакуючі окремо компілюють і шифрують кожну IP-адресу керуючого сервера, використовуючи власний алгоритм”, – зазначають у Palo Alto Networks.