2024년 11월부터 12월까지 북미와 아시아의 대학과 정부 기관을 대상으로 한 공격에서 'Auto-Color'라는 이름의 이전에 문서화되지 않은 리눅스 백도어가 관찰되었습니다. Palo Alto Networks의 Unit 42 연구원들이 이 맬웨어를 발견하였는데, 이 맬웨어는 매우 회피적이며 감염된 시스템에서 제거하기 어렵습니다. 이 맬웨어는 2022년에 BlackBerry가 처음으로 문서화한 Symbiote 리눅스 맬웨어 가족과 일부 유사성을 보이지만, 두 맬웨어는 서로 다릅니다.
Unit 42는 초기 감염 경로를 파악하지 못했지만, 공격은 "door", "egg", "log"와 같은 친숙한 이름으로 위장된 파일의 실행으로 시작됩니다. 맬웨어가 루트 권한으로 실행되면, 악성 라이브러리 임플란트(libcext.so.2)를 설치하고, 이를 합법적인 라이브러리(libcext.so.0)로 위장하며, 시스템 디렉토리(/var/log/cross/auto-color)에 복사합니다. 또한 '/etc/ld.preload'를 수정하여 임플란트가 다른 시스템 라이브러리보다 먼저 실행되도록 합니다. 루트 접근 권한이 없는 경우에도 맬웨어는 실행되지만, 지속적인 메커니즘은 생략됩니다. 이는 장기적인 영향을 제한하지만, 위협 행위자들이 다른 방법으로 루트를 얻을 수 있게 되면 원격 접근을 제공합니다.
Auto-Color는 커스텀 암호화 알고리즘을 사용하여 명령 및 제어(C2) 서버 정보를 복호화하고, 무작위 16바이트 값 핸드셰이크를 통해 교환을 검증합니다. C2 서버 주소, 구성 데이터, 네트워크 트래픽의 난독화를 위해 커스텀 암호화가 사용되며, 암호화 키는 감지를 더 어렵게 만들기 위해 각 요청마다 동적으로 변경됩니다. 연결이 확립되면, C2는 Auto-Color에게 역방향 쉘을 열어 원격 접근을 허용하거나, 임의의 명령 실행, 파일 수정·생성으로 감염 확장, 프록시 역할 수행, 구성 동적 수정 등의 작업을 지시할 수 있습니다.
'Auto-Color'라는 리눅스 백도어가 북미와 아시아의 대학과 정부 기관을 대상으로 한 공격에서 발견되었다.
이 맬웨어는 매우 회피적이며 감염된 시스템에서 제거하기 어렵다.
맬웨어가 루트 권한으로 실행되면, 악성 라이브러리 임플란트를 설치하고, 이를 합법적인 라이브러리로 위장한다.
Auto-Color는 커스텀 암호화 알고리즘을 사용하여 명령 및 제어(C2) 서버 정보를 복호화한다.
C2는 Auto-Color에게 역방향 쉘을 열어 원격 접근을 허용하거나, 임의의 명령 실행, 파일 수정·생성으로 감염 확장, 프록시 역할 수행, 구성 동적 수정 등의 작업을 지시할 수 있다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.