Palo Alto Networks je podijelio detalje o novom dijelu Linux malicioznog softvera koji hakerima daje backdoor pristup kompromitovanim uređajima.
Pod nazivom Auto-Color (zasnovano na nazivu početnog korisnog opterećenja), Linux malver je prvi put uočila bezbjednosna kompanija početkom novembra 2024. Palo Alto je dobio najnoviji uzorak 5. decembra 2024. godine.
Analiza kompanije pokazala je da se Auto-Color uglavnom koristi za ciljanje univerziteta i vlada u Sjevernoj Americi i Aziji.
Palo Alto nije mogao utvrditi kako malver stiže do ciljeva, ali je istakao da žrtva mora eksplicitno da ga izvrši na Linux računaru.
Nakon što je u potpunosti raspoređen na sistemu, on svom operateru pruža potpuni daljinski pristup ciljanoj mašini, a „veoma je teško ukloniti bez specijalizovanog softvera“, saopštila je bezbjednosna kompanija.
Maliciozni softver podržava komande koje omogućavaju napadaču da prikupi informacije o hostu, deinstalira maliciozni softver, povratnu konzolu, kreira i modifikuje datoteke, izvrši program i pretvori uređaj u proxy.
Auto-Color koristi različite metode za izbjegavanje otkrivanja, uključujući korištenje imena datoteka koje izgledaju bezopasno, skrivanje C&C veza pomoću sofisticirane tehnike i korištenje vlasničkih algoritama šifrovanja za zaštitu informacija koje se odnose na komunikaciju i konfiguraciju.
Palo Alto je podijelio indikatore kompromisa (IoC) kako bi pomogao braniteljima da otkriju Auto-Color Linux maliciozni softver na svojim mrežama.
Izvor: SecurityWeek
