محققان Palo Alto Networks یک بدافزار جدید لینوکس کشف کردند که بر اساس تغییر نام فایل پیلود اولیه پس از نصب، آن Auto-color نامگذاری کردند.
Auto-color پس از نصب، به عوامل تهدید امکان دسترسی کامل از راه دور به دستگاههای در معرض خطر را میدهد و حذف آن بدون نرمافزار تخصصی بسیار دشوار است. پس از اجرا نیز سعی میکند دستورالعملهای راه دور را از یک سرور فرمان دریافت کند که میتواند درب پشتیهای reverse shell را در سیستم قربانی ایجاد کند. عوامل تهدید به طور جداگانه هر IP سرور فرمان را با استفاده از یک الگوریتم اختصاصی کامپایل و رمزگذاری میکنند.
این خانواده بدافزار که عمدتاً برای هدف قرار دادن دانشگاه ها و ادارات دولتی در آمریکای شمالی و آسیا استفاده شده از چندین روش زیر برای جلوگیری از شناسایی استفاده میکند:
▪️استفاده از نام فایلهای بیخطر برای عملیات
▪️مخفی کردن اتصالات فرمان و کنترل از راه دور (C2) با استفاده از تکنیک پیشرفته مشابه روش مورد استفاده خانواده بدافزار Symbiote
▪️استقرار الگوریتمهای رمزگذاری اختصاصی برای پنهانسازی اطلاعات ارتباط و پیکربندی
https://unit42.paloaltonetworks.com/new-linux-backdoor-auto-color/
