СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.02.2025
#ИБ#ИИ

Выявление Auto-color: новая угроза для Linux-систем

Выявление Auto-color: новая угроза для Linux-систем

Источник: unit42.paloaltonetworks.com

Недавние исследования, проведенные Palo Alto Networks, выявили новую вредоносную программу для операционной системы Linux, названную Auto-color. Эта программа, обнаруженная в период с ноября по декабрь 2024 года, демонстрирует передовые методы маскировки и защиты, что делает ее особенно опасной для целевых организаций.

Как работает Auto-color?

Auto-color активно нацелена на университеты и государственные учреждения в Северной Америке и Азии. Основные характеристики вредоносного ПО включают:

  • Использование безопасных имен файлов, таких как «door» или «egg».
  • Динамические хэши и шифрование для скрытия своей активности.
  • Комплексный процесс установки, требующий явного выполнения от жертвы, что затрудняет обнаружение.

Ключевые особенности

Одной из самых тревожных характеристик Auto-color является внедрение вредоносного библиотечного импланта libcext.so.2, который маскируется под стандартную библиотеку C. Это позволяет:

  • Перехватывать системные вызовы.
  • Изменять поведение системы при загрузке.
  • Мониторить сетевые подключения через файл /proc/net/tcp.

Командный цикл и управление

После установки Auto-color начинает расшифровку глобальной полезной нагрузки, содержащей IP-адреса злоумышленников. Она может извлекать конфигурацию из файлов или использовать встроенные данные. Затем, установив соединение с хакером через протокол подтверждения связи, программа переходит в командный цикл, ожидая указания в определенном формате сообщения.

Каждая команда обрабатывается по структурированному протоколу, позволяющему создавать обратные оболочки и выполнять дополнительные вредоносные действия.

Проблемы обнаружения

Обнаружение Auto-color представляет собой серьезную проблему для систем безопасности. Уникальные методы алгоритмов шифрования и обработки системных вызовов создают значительные трудности для аналитиков в области кибербезопасности. Необходимы специальные индикаторы компрометации для выявления этой угрозы.

Пользователям рекомендуется:

  • Отслеживать взаимодействие с системами, которые могут быть подвержены риску.
  • Внедрять модели машинного обучения в стратегии защиты от киберугроз.

Заключение

Распространение Auto-color подчеркивает необходимость повышения уровня защиты в уязвимых организациях. Особенности данной вредоносной программы указывают на нарастающую сложность и изощренность киберугроз в современном мире.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: