Đoạn bài viết từ Bleeping Computer thảo luận về phần mềm độc hại Linux mới được phát hiện, có tên là Auto-Color, nhắm vào các tổ chức chính phủ và trường đại học ở Bắc Mỹ và châu Á. Dưới đây là những điểm chính:
- Phát hiện và Hoạt động: Phần mềm độc hại này được quan sát lần đầu trong các cuộc tấn công diễn ra từ tháng 11 đến tháng 12 năm 2024. Nó được phát hiện bởi các nhà nghiên cứu tại Palo Alto Networks’ Unit 42.
- Nhắm đến: Auto-Color chủ yếu nhắm vào các trường đại học và tổ chức chính phủ ở Bắc Mỹ và châu Á.
- Chuỗi lây nhiễm: Vector lây nhiễm ban đầu vẫn chưa rõ, nhưng phần mềm độc hại thường được thực thi từ một tệp có tên vô hại như “door,” “egg,” hoặc “log.” Nếu nó được thực thi với quyền root, nó sẽ cài đặt một thư viện độc hại (
libcext.so.2) và sửa đổi/etc/ld.preloadđể đảm bảo tính liên tục. - Kỹ thuật né tránh: Auto-Color sử dụng các thuật toán mã hóa tùy chỉnh để che giấu địa chỉ máy chủ C2, dữ liệu cấu hình và lưu lượng mạng. Nó cũng sử dụng một giá trị ngẫu nhiên 16-byte cho việc xác thực và thay đổi động các khóa mã hóa để né tránh phát hiện.
- Chức năng: Khi kết nối với máy chủ C2, Auto-Color có thể thực hiện nhiều chức năng khác nhau, bao gồm mở một shell đảo ngược để truy cập từ xa hoàn toàn, thực thi các lệnh tùy ý, sửa đổi hoặc tạo tệp, và hoạt động như một proxy.
- Tính bảo trì và Phát hiện: Phần mềm độc hại này có các tính năng giống như rootkit, chặn các lệnh hệ thống và ẩn các kết nối C2 bằng cách sửa đổi
/proc/net/tcp. Nó cũng có một “kill switch” cho phép kẻ tấn công xóa các dấu vết lây nhiễm, làm cho nó khó phát hiện và loại bỏ. - Chiến lược phòng ngừa: Để giảm thiểu mối đe dọa, người bảo vệ nên theo dõi các thay đổi trong
/etc/ld.preload, thực hiện quyền truy cập tối thiểu, hạn chế quyền root, và thực hiện cập nhật và quản lý lỗ hổng thường xuyên. Phân tích lưu lượng mạng cũng nên được sử dụng để phát hiện và chặn lưu lượng C2.
