Seorang aktor ancaman yang tidak dikenal baru-baru ini terpantau menargetkan universitas dan organisasi pemerintah di Asia dan Amerika Utara dengan sebuah backdoor yang belum pernah dilaporkan sebelumnya, bernama Auto-Color, yang sangat sulit terdeteksi dan mampu mempertahankan akses tersembunyi ke sistem yang terinfeksi dalam jangka waktu yang lama.
Cara awal penyebaran Auto-Color ke target saat ini masih belum diketahui. Namun, para peneliti mengamati bahwa biasanya malware ini dijalankan melalui sebuah file dengan nama yang tidak mencurigakan seperti “door”, “egg”, atau “log”.
Setelah dijalankan, Auto-Color akan menginstal sebuah pustaka berbahaya (libcext.so.2) yang menyamar sebagai pustaka sah libcext.so.0, dan menyalin dirinya ke direktori sistem /var/log/cross/auto-color. Jika sistem dijalankan dengan hak akses root, backdoor ini akan memodifikasi file /etc/ld.preload untuk memastikan dirinya dijalankan sebelum pustaka sistem lainnya, sehingga bisa bertahan secara permanen di sistem yang terinfeksi. Jika sistem tidak dijalankan dengan hak akses root, langkah ini akan dilewati.
Setelah koneksi terenkripsi dengan server command and control (C2) berhasil dibentuk, Auto-Color dapat menerima perintah untuk melakukan fungsi-fungsi berikut:
-
Memberikan akses jarak jauh penuh melalui reverse shell;
-
Menjalankan perintah secara bebas (arbitrary commands);
-
Memodifikasi atau membuat file;
-
Meneruskan lalu lintas dari aktor ancaman sebagai proxy; dan
-
Mengubah konfigurasi dirinya sendiri.
Alamat server C2, data konfigurasi, dan lalu lintas jaringan Auto-Color semuanya dienkripsi, sehingga sangat menyulitkan para peneliti untuk mendeteksi dan menganalisis aktivitasnya.
Meskipun Auto-Color memiliki fitur unik, penggunaan pustaka berbahaya dan file ld.preload untuk mempertahankan keberadaannya juga telah diamati pada malware Linux lainnya, seperti keluarga Symbiote. Metode ini memungkinkan integrasi yang sangat dalam ke dalam sistem, sehingga malware dapat mencegat dan memanipulasi pemanggilan sistem (system calls), serta menghindari deteksi. Dalam kasus Auto-Color, kemampuan ini digunakan untuk menyembunyikan koneksi ke server C2 dengan cara memodifikasi file /proc/net/tcp.
Menariknya, backdoor Auto-Color digunakan untuk menargetkan baik organisasi pemerintah maupun universitas, yang merupakan dua jenis target berbeda dengan nilai potensial yang berbeda pula. Dengan mengompromikan entitas pemerintah, aktor ancaman berpotensi mendapatkan akses ke informasi sensitif, yang menimbulkan ancaman keamanan yang besar. Sementara itu, universitas, meskipun bukan target utama untuk pengumpulan intelijen, menawarkan bandwidth tinggi dan platform yang stabil, yang bisa dimanfaatkan oleh aktor ancaman untuk melakukan atau meneruskan serangan lainnya.
Sayangnya, hingga saat ini belum diketahui dengan pasti bagaimana backdoor Auto-Color bisa masuk ke perangkat target. Ada kemungkinan penyebarannya dilakukan melalui metode sederhana seperti phishing atau drive-by downloads. Namun, dalam banyak kasus sebelumnya, kerentanan sistem telah digunakan secara luas untuk menyebarkan backdoor seperti Auto-Color, terutama di lingkungan Linux. Contoh yang paling terkenal adalah CVE-2021-44228, sebuah kerentanan Remote Code Execution pada Log4j yang dikenal dengan nama Log4Shell, yang dimanfaatkan oleh banyak aktor ancaman untuk menginstal backdoor Linux, penambang kripto, dan implantasi C2.
Backdoor ‘Auto-Color’ Ancaman Serius bagi Sistem Linux
referensi: https://unit42.paloaltonetworks.com/new-linux-backdoor-auto-color/#post-138356-_sghbbohuid5y