كشفت وحدة Unit 42 التابعة لشركة Palo Alto Networks عن استهداف جامعات ومنظمات حكومية في أمريكا الشمالية وآسيا ببرمجية خبيثة غير موثقة سابقًا تُعرف باسم Auto-Color، وذلك بين نوفمبر وديسمبر 2024.
🔍 تمكن هذه البرمجية المهاجمين من الوصول الكامل عن بُعد إلى الأنظمة المخترقة، مما يجعل إزالتها صعبة للغاية دون استخدام برامج متخصصة، وفقًا لما قاله الباحث الأمني أليكس أرمسترونغ في تقرير فني عن البرمجية.
كيف تعمل برمجية Auto-Color؟
🔹 إعادة تسمية ذاتية: تحمل البرمجية هذا الاسم نسبةً إلى تغيير اسمها بعد التثبيت.
🔹 آلية الوصول: لم يُحدد بعد كيف تصل إلى الضحايا، ولكن يُعرف أنها تحتاج إلى تشغيل يدوي من قِبل المستخدم على نظام لينكس.
🔹 تقنيات التخفي: تستخدم أسماء ملفات بريئة المظهر مثل “door” أو “egg”، وتُخفي اتصالاتها بخوادم التحكم والسيطرة (C2) باستخدام خوارزميات تشفير خاصة.
مراحل الهجوم
1 تثبيت البرمجية
🔹 عند تشغيلها بصلاحيات root، تقوم بـ:
✅ تثبيت مكتبة خبيثة باسم “libcext.so.2”.
✅ نسخ وإعادة تسمية نفسها إلى “/var/log/cross/auto-color”.
✅ تعديل ملف “/etc/ld.preload” لضمان البقاء في النظام بعد إعادة التشغيل.
💡 إذا لم يكن لدى المستخدم صلاحيات root، فإن البرمجية ستتخطى تثبيت المكتبة لكنها ستستمر في تنفيذ مراحلها الأخرى قدر الإمكان.
2 التخفي داخل النظام
🔹 تُعدل البرمجية ملفات النظام لإخفاء نشاطها، مثل:
✅ اعتراض استدعاءات النظام عبر مكتبة libc.
✅ التلاعب بملف “/proc/net/tcp” لإخفاء اتصالاتها مع خوادم C2.
✅ حماية ملف “/etc/ld.preload” لمنع إزالته وبالتالي ضمان استمرارية عملها.
🛑 تم رصد تقنيات مشابهة في برمجية خبيثة أخرى تُعرف باسم Symbiote، مما يشير إلى تطور كبير في أدوات الهجوم على لينكس.
3 السيطرة عن بُعد وتنفيذ الأوامر
بمجرد اتصال Auto-Color بخادم التحكم، يستطيع المهاجم:
✅ فتح قنوات اتصال عكسية (Reverse Shell) للوصول إلى النظام.
✅ جمع معلومات عن الجهاز المُخترق.
✅ إنشاء أو تعديل الملفات.
✅ تشغيل برامج ضارة أو تنفيذ أوامر محددة.
✅ استخدام الجهاز كوكيل (Proxy) لإعادة توجيه الاتصالات بين عناوين IP معينة.
✅ إلغاء تثبيت نفسه باستخدام “زر القتل” (Kill Switch) لمنع التتبع.
كيف يمكن الحماية من Auto-Color؟
🛡 للمستخدمين والمُدراء الأمنيين:
✅ تجنب تشغيل أي ملفات غير موثوقة يدويًا على أنظمة لينكس.
✅ استخدام أدوات مراقبة سلامة الملفات (FIM) للكشف عن التعديلات المشبوهة على ملفات مثل “/etc/ld.preload”.
✅ تفعيل سياسات الحد من تنفيذ الأكواد غير الموثوقة عبر AppArmor أو SELinux.
✅ مراقبة النشاط الشبكي بحثًا عن أي اتصالات مريبة بخوادم خارجية.
✅ استخدام أدوات الكشف عن البرمجيات الخبيثة مثل ClamAV أو Falco لتحليل النظام بشكل مستمر.
