Как Linux malware «Auto-Color» обеспечивает полный удалённый доступ?

Обнаруженная в ноябре-декабре 2024 года, программа «Auto-Color» нацелена на университеты и государственные учреждения в Северной Америке и Азии. Выявление проводилось подразделением Unit 42 компании Palo Alto Networks, что усилило серьезность угрозы.
Как Linux malware «Auto-Color» обеспечивает полный удалённый доступ?
Изображение носит иллюстративный характер

Само заражение происходит при самостоятельном запуске файла на системе Linux, причём метод завоевания жертв пока остается неизвестным. Название «Auto-Color» программа получила из-за того, что исходный payload после установки переименовывается в этот файл.

После активации вредоносный код обеспечивает злоумышленникам полный удалённый доступ к скомпрометированной машине, что значительно усложняет процедуру удаления без специализированных программ. При запуске с root-привилегиями устанавливаются дополнительные компоненты; без root доступ выполняется вплоть до допустимого, но evasive-библиотека не инсталлируется.

Для обхода средств обнаружения программа использует незаметные имена файлов, такие как «door» или «egg», и скрывает свои командно-управляющие (C2) соединения. За маскировку коммуникаций и данных конфигурации отвечает кастомный алгоритм шифрования.

При запуске с повышенными привилегиями Auto-Color копирует себя в каталог /var/log/cross/auto-color и модифицирует файл /etc/ld.preload для установления постоянства. В дополнение устанавливается вредоносная библиотека «libcext.so.2», являющаяся важнейшим элементом имплантации.

Библиотека «libcext.so.2» пассивно перехватывает функции, используемые в libc, в частности системный вызов open(), и изменяет содержимое файла /proc/net/tcp для сокрытия C2-коммуникаций. Этот способ аналогичен ранее использованной технике Linux-малвари Symbiote и дополнительно защищает /etc/ld.preload от изменений, препятствуя удалению вредоносного кода.

После установки программа инициирует контакт с сервером командного управления, предоставляя злоумышленнику возможности для получения обратной оболочки, сбора системной информации, создания или модификации файлов, запуска программ и использования машины в качестве прокси между удалёнными и целевыми IP-адресами. Приём инструкций осуществляется через обратные shell-подключения, а IP-адреса серверов C2 компилируются и шифруются по отдельности с использованием проприетарного алгоритма, как отметил эксперт Алекс Армстронг.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка