Команда дослідників кібербезпеки Palo Alto Networks виявила нове загрозливе програмне забезпечення Auto-Color, що спеціалізується на атаках на Linux-системи. Протягом листопада-грудня 2024 року шкідливе ПЗ було помічене в серії цілеспрямованих атак на освітні заклади та державні установи Північної Америки та Азії.
Технічний аналіз шкідливого ПЗ Auto-Color
Auto-Color являє собою складний бекдор, розроблений для забезпечення зловмисникам повного віддаленого доступу до скомпрометованих систем. Особливу увагу розробники шкідливого ПЗ приділили механізмам уникнення виявлення, використовуючи комбінацію передових технік маскування, включаючи приховування мережевої активності та застосування власних алгоритмів шифрування.
Механізм інфікування та закріплення в системі
Для успішного впровадження Auto-Color потребує привілеїв суперкористувача (root). Після отримання необхідного рівня доступу малварь виконує наступну послідовність дій:
- Впроваджує шкідливий модуль libcext.so.2
- Створює резервну копію в директорії /var/log/cross/auto-color
- Модифікує системний файл /etc/ld.preload для забезпечення постійної присутності
Інноваційні методи приховування активності
Auto-Color використовує складні техніки маскування своєї присутності, включаючи перехоплення системних викликів open() та модифікацію файлу /proc/net/tcp для приховування мережевої активності. Подібний підхід раніше спостерігався у шкідливому ПЗ Symbiote, виявленому в 2022 році, що свідчить про можливий зв’язок між цими загрозами або запозичення успішних технік.
Функціональні можливості та потенційні загрози
Після успішного закріплення в системі, Auto-Color надає зловмисникам широкий спектр можливостей для проведення шкідливої діяльності:
- Віддалене виконання команд через реверс-шелл
- Збір системної інформації та розвідка
- Маніпуляції з файловою системою
- Використання інфікованої системи як проксі-сервера
- Функціонал самознищення для уникнення виявлення
Для ефективного захисту від загрози Auto-Color фахівці з кібербезпеки рекомендують впровадити комплекс захисних заходів: посилити моніторинг Linux-систем, регулярно перевіряти цілісність системних файлів, впровадити суворий контроль привілеїв користувачів та забезпечити своєчасне оновлення систем безпеки. Враховуючи високий рівень технічної складності малварі та її здатність ефективно маскувати свою присутність, організаціям необхідно застосовувати багаторівневий підхід до захисту критичної інфраструктури.
