Аналитики Palo Alto Networks выявили новую вредоносную программу Auto-Color, атакующую университеты и правительственные организации в Северной Америке и Азии. Вредоносная активность фиксировалась с ноября по декабрь 2024 года.
Способы проникновения и особенности
Auto-Color требует явного запуска на Linux-системе, после чего предоставляет злоумышленникам полный удалённый доступ. Программа маскируется под безобидные файлы, такие как door или egg, а также скрывает свои C&C-коммуникации с помощью собственного алгоритма шифрования.
При запуске с привилегиями root Auto-Color:
- Устанавливает имплант libcext.so.2.
- Копирует себя в /var/log/cross/auto-color.
- Вносит изменения в /etc/ld.preload, закрепляя своё присутствие.
Если программа запущена без root-прав, она ограничивает свою функциональность.
Механизм уклонения от обнаружения
Auto-Color использует hook-функции в libc, перехватывая системные вызовы open(). Это позволяет ей скрывать сетевые соединения в файле /proc/net/tcp, аналогично тактике ранее обнаруженной малвари Symbiote.
Действия после установки
После заражения Auto-Color связывается с управляющим сервером, предоставляя операторам возможности:
- Запуска реверс-шелла.
- Изменения файловой системы.
- Запуска программ.
- Использования заражённого узла как прокси.
- Удаления малвари по команде (что усложняет расследование атак).
Каждый IP-адрес C&C-сервера компилируется и шифруется отдельно, что затрудняет обнаружение вредоносной активности.
Защита от угрозы
Специалисты рекомендуют использовать специализированное ПО для выявления и удаления Auto-Color, а также мониторить изменения в /etc/ld.preload и /proc/net/tcp на предмет подозрительной активности.
Группа: Настройка и новости linux
Тема: Linux центр Крылья
Что думаете вы, дорогие наши подписчики? Делитесь своими впечатлениями в комментариях