Обнаруженная в ноябре-декабре 2024 года, программа «Auto-Color» нацелена на университеты и государственные учреждения в Северной Америке и Азии. Выявление проводилось подразделением Unit 42 компании Palo Alto Networks, что усилило серьезность угрозы.
Само заражение происходит при самостоятельном запуске файла на системе Linux, причём метод завоевания жертв пока остается неизвестным. Название «Auto-Color» программа получила из-за того, что исходный payload после установки переименовывается в этот файл.
После активации вредоносный код обеспечивает злоумышленникам полный удалённый доступ к скомпрометированной машине, что значительно усложняет процедуру удаления без специализированных программ. При запуске с root-привилегиями устанавливаются дополнительные компоненты; без root доступ выполняется вплоть до допустимого, но evasive-библиотека не инсталлируется.
Для обхода средств обнаружения программа использует незаметные имена файлов, такие как «door» или «egg», и скрывает свои командно-управляющие (C2) соединения. За маскировку коммуникаций и данных конфигурации отвечает кастомный алгоритм шифрования.
При запуске с повышенными привилегиями Auto-Color копирует себя в каталог /var/log/cross/auto-color и модифицирует файл /etc/ld.preload для установления постоянства. В дополнение устанавливается вредоносная библиотека «libcext.so.2», являющаяся важнейшим элементом имплантации.
Библиотека «libcext.so.2» пассивно перехватывает функции, используемые в libc, в частности системный вызов open(), и изменяет содержимое файла /proc/net/tcp для сокрытия C2-коммуникаций. Этот способ аналогичен ранее использованной технике Linux-малвари Symbiote и дополнительно защищает /etc/ld.preload от изменений, препятствуя удалению вредоносного кода.
После установки программа инициирует контакт с сервером командного управления, предоставляя злоумышленнику возможности для получения обратной оболочки, сбора системной информации, создания или модификации файлов, запуска программ и использования машины в качестве прокси между удалёнными и целевыми IP-адресами. Приём инструкций осуществляется через обратные shell-подключения, а IP-адреса серверов C2 компилируются и шифруются по отдельности с использованием проприетарного алгоритма, как отметил эксперт Алекс Армстронг.
Изображение носит иллюстративный характер
Само заражение происходит при самостоятельном запуске файла на системе Linux, причём метод завоевания жертв пока остается неизвестным. Название «Auto-Color» программа получила из-за того, что исходный payload после установки переименовывается в этот файл.
После активации вредоносный код обеспечивает злоумышленникам полный удалённый доступ к скомпрометированной машине, что значительно усложняет процедуру удаления без специализированных программ. При запуске с root-привилегиями устанавливаются дополнительные компоненты; без root доступ выполняется вплоть до допустимого, но evasive-библиотека не инсталлируется.
Для обхода средств обнаружения программа использует незаметные имена файлов, такие как «door» или «egg», и скрывает свои командно-управляющие (C2) соединения. За маскировку коммуникаций и данных конфигурации отвечает кастомный алгоритм шифрования.
При запуске с повышенными привилегиями Auto-Color копирует себя в каталог /var/log/cross/auto-color и модифицирует файл /etc/ld.preload для установления постоянства. В дополнение устанавливается вредоносная библиотека «libcext.so.2», являющаяся важнейшим элементом имплантации.
Библиотека «libcext.so.2» пассивно перехватывает функции, используемые в libc, в частности системный вызов open(), и изменяет содержимое файла /proc/net/tcp для сокрытия C2-коммуникаций. Этот способ аналогичен ранее использованной технике Linux-малвари Symbiote и дополнительно защищает /etc/ld.preload от изменений, препятствуя удалению вредоносного кода.
После установки программа инициирует контакт с сервером командного управления, предоставляя злоумышленнику возможности для получения обратной оболочки, сбора системной информации, создания или модификации файлов, запуска программ и использования машины в качестве прокси между удалёнными и целевыми IP-адресами. Приём инструкций осуществляется через обратные shell-подключения, а IP-адреса серверов C2 компилируются и шифруются по отдельности с использованием проприетарного алгоритма, как отметил эксперт Алекс Армстронг.
