Auto-Color: новое вредоносное ПО для Linux, ставящее под контроль университеты и правительства

  • Авто-Цвет Это вредоносное ПО для Linux, обнаруженное в ноябре 2024 года, нацеленное на университеты и правительственные учреждения.
  • Эта вредоносная программа использует продвинутые методы уклонения, скрывая свое присутствие и связь с серверами управления.
  • После установки он позволяет полный удаленный доступ, выполнение команд, манипулирование файлами и использование системы в качестве прокси-сервера.
  • Эксперты до сих пор не знают, как он распространяется, хотя считается, что он использует социальная инженерия и фишинг для распространения.
Pablinux

4 минут

Авто-Цвет

В сфере кибербезопасности появилась новая угроза: Авто-Цвет, вредоносное ПО для систем Linux, которое заражает университеты и правительственные организации в Северной Америке и Азии. Это вредоносное ПО, обнаруженное исследователями Palo Alto Networks в конце 2024 года, стало вызывать растущую обеспокоенность из-за его способности избегать обнаружения и сохранять контроль над скомпрометированными системами.

Несмотря на усилия экспертов по безопасности, Механизм его распространения пока точно не определен.. Однако, судя по всему, он использует тактику социальной инженерии и фишинговые атаки, чтобы обманом заставить пользователей запустить зараженные системы.

Функции и возможности Auto-Color

После того, как вредоносное ПО запущено в системе, оно скрытно устанавливается и меняет название на «Auto-Color», что позволяет ему действовать, не вызывая подозрений. Первоначально исполняемые файлы, используемые для заражения устройств, имели общие названия, такие как «дверь», «яйцо» или «журнал», что затрудняло их обнаружение.

Вредоносная программа имеет ряд дополнительных функций, которые повышают ее опасность:

  • Полный удаленный доступ: Злоумышленники могут управлять зараженной системой так, как будто они физически находятся перед ней.
  • Выполнение команды: позволяет киберпреступникам выполнять инструкции, которые ставят под угрозу безопасность системы или манипулируют ее файлами.
  • Использование системы в качестве прокси: превращает компьютер в посредника для сокрытия других вредоносных действий.
  • Удалить себя: Он имеет функцию «аварийного отключения», которая позволяет ему стирать свои следы с зараженной машины, чтобы избежать судебно-медицинского анализа.

Методы уклонения и настойчивости

Auto-Color оказался особенно эффективным в скрыть свое присутствие в системе. Одной из самых опасных тактик является установка вредоносной библиотеки под названием «libcext.so.2», которая маскируется под легитимную системную библиотеку. Кроме того, он изменяет файл «/etc/ld.preload», чтобы гарантировать, что его код будет выполнен раньше любых других системных библиотек.

Чтобы затруднить отслеживание своей активности, вредоносная программа использует пользовательское шифрование скрыть связь со своими серверами управления (C2), не позволяя администраторам безопасности обнаруживать подозрительные соединения. Кроме того, он перехватывает и изменяет информацию в «/proc/net/tcp» — системном файле, который обычно регистрирует активные соединения. Благодаря этой манипуляции Auto-Color делает передачу данных незаметной.

Вектор атаки пока неизвестен

Одним из самых тревожных аспектов Auto-Color является то, что Метод его распространения остается загадкой.. В отличие от других вредоносных программ, использующих определенные уязвимости, эта вредоносная программа, по всей видимости, не использует напрямую недостатки операционной системы Linux. Вместо этого исследователи полагают, что его распространение может быть связано с социальной инженерией или атаками, нацеленными на системных администраторов, которые могут запустить файл, не подозревая о его вредоносном характере.

Как защитить себя от самоцвета

Чтобы минимизировать риск заражения, эксперты по безопасности рекомендуют соблюдать ряд профилактических мер:

  • Предотвратить запуск подозрительных файлов: Системным администраторам следует проявлять осторожность при работе с неизвестными файлами, даже если они кажутся подлинными.
  • Отслеживайте изменения в «/etc/ld.preload» и «/proc/net/tcp»: Для обеспечения сохранности эти файлы часто обрабатываются функцией Auto-Color.
  • Внедрите решения по обнаружению на основе поведения: Благодаря передовым методам обхода этот тип сканирования может быть более эффективным, чем традиционный антивирус.
  • Используйте политику наименьших привилегий: Ограничение доступа пользователей к административным функциям снижает вероятность успеха атаки.

Появление Auto-Color подчеркивает важность постоянного мониторинга в сфере кибербезопасности. Хотя метод его распространения до сих пор неясен, его сложность и возможности уклонения делают его одной из самых серьезных угроз для сред Linux на сегодняшний день.

Изображение: ДАЛЛ-Э.