Eine neu entdeckte Linux-Malware namens Auto-Color zielt aktiv auf Universitäten und Regierungsorganisationen in Nordamerika und Asien ab. Erstmalig von Unit 42 von Palo Alto Networks identifiziert, ermöglicht Auto-Color Angreifern einen dauerhaften Fernzugriff auf kompromittierte Systeme, wodurch sie nur schwer zu erkennen und zu entfernen ist.
Wichtige Merkmale von Auto-Color
- Bei Ausführung mit Root-Rechten installiert Auto-Color eine bösartige Bibliothek, benennt sich selbst in /var/log/cross/auto-color um und ändert /etc/ld.preload, um seine Persistenz zu gewährleisten. Ohne Root-Zugriff läuft es mit eingeschränkter Funktionalität weiter.
- Die Malware tarnt sich mit irreführenden Dateinamen wie «door» oder «egg», verschlüsselt ihre Kommunikation mit dem Command-and-Control (C2)-Server und manipuliert Systemprozesse, um ihre Präsenz zu verbergen, indem sie beispielsweise /proc/net/tcp verändert.
- Nach der Aktivierung verbindet sich Auto-Color mit einem entfernten C2-Server und ermöglicht Angreifern:
- Reverse Shells zu öffnen
- Systeminformationen zu sammeln
- Dateien zu erstellen oder zu modifizieren
- Programme auszuführen
- Das infizierte System als Proxy für weitere Angriffe zu nutzen
- Sich selbst über einen Kill-Switch zu deinstallieren
Der genaue Infektionsweg ist noch unklar, aber die Ausführung erfordert eine Benutzerinteraktion auf dem Linux-System.
Expertenanalyse
Auto-Color zeigt, dass Linux-Bedrohungen immer ausgefeilter und gezielter werden. Im Gegensatz zu generischen Botnets oder automatisierten Ransomware-Kampagnen ist diese Malware auf Tarnung, Persistenz und langfristige Kontrolle ausgelegt. Ihre Fähigkeit, Systemprozesse zu modifizieren und traditionellen Sicherheitslösungen auszuweichen, stellt eine erhebliche Herausforderung für Verteidiger dar.
Die gezielten Angriffe auf akademische Einrichtungen und Regierungsinstitutionen legen nahe, dass Auto-Color nicht nur ein gewöhnliches kriminelles Werkzeug zur Masseninfektion ist. Vielmehr scheint es sich um eine ausgeklügelte Cyber-Spionagekampagne zu handeln, bei der Angreifer die Kontrolle über die Systeme anstelle ihrer Zerstörung priorisieren.
Organisationen, die auf Linux setzen, sollten nicht davon ausgehen, dass sie immun gegen fortschrittliche Bedrohungen sind. Regelmäßige Systemaudits, strikte Zugangskontrollen und eine Echtzeit-Netzwerküberwachung sind entscheidend, um Angriffe wie Auto-Color zu erkennen und zu verhindern. Angesichts seiner ausgefeilten Tarnmechanismen reicht ein einfaches Antivirenprogramm oder grundlegender Endpunktschutz nicht aus.
Den vollständigen Artikel lesen.
