Главная страница » IOC
0
15 дней
IOC

Auto-Color Backdoor IOCs

security

Исследователи Palo Alto Networks обнаружили новую вредоносную программу для Linux под названием Auto-color.

Auto-Color Backdoor

Эта вредоносная программа использует несколько методов, чтобы избежать обнаружения, включая использование доброкачественных имен файлов, скрытие удаленных командных и управляющих соединений и использование собственных алгоритмов шифрования. После установки Auto-color предоставляет злоумышленникам полный удаленный доступ к взломанным машинам.

Вредоносная программа была использована для атак на университеты и правительственные учреждения в Северной Америке и Азии. Каждый раз, когда вредоносная программа запускается на другом объекте, она использует другое имя файла. Это делается для избежания обнаружения. Хотя размеры файлов всегда одинаковы, хэши у них разные.

При запуске вредоносной программы на компьютере жертвы она проверяет, является ли имя запущенного исполняемого файла Auto-color. Если имя отличается, вредоносная программа запускает фазу установки уклоняющегося библиотечного имплантата. Если текущий пользователь не обладает правами root, установка не будет продолжена. Если текущий пользователь обладает правами root, вредоносная программа устанавливает вредоносный библиотечный имплант под названием libcext.so.2.

Вредоносная программа находит путь к каталогу базовой библиотеки и переименовывает себя в /var/log/cross/auto-color. Затем она записывает имя файла вредоносной библиотеки в файл /etc/ld.preload. Вредоносная библиотека может перезаписывать функции или другие символы в основных библиотеках, что позволяет изменять их поведение.

Indicators of Compromise

IPv4 Port Combinations

  • 146.70.41.178:443
  • 146.70.87.67:443
  • 206.189.149.191:443
  • 216.245.184.214:443
  • 65.38.121.64:443

SHA256

  • 270fc72074c697ba5921f7b61a6128b968ca6ccbf8906645e796cfc3072d4c43
  • 65a84f6a9b4ccddcdae812ab8783938e3f4c12cfba670131b1a80395710c6fb4
  • 83d50fcf97b0c1ec3de25b11684ca8db6f159c212f7ff50c92083ec5fbd3a633
  • 85a77f08fd66aeabc887cb7d4eb8362259afa9c3699a70e3b81efac9042bb255
  • a1b09720edcab4d396a53ec568fe6f4ab2851ad00c954255bf1a0c04a9d53d0a
  • bace40f886aac1bab03bf26f2f463ac418616bacc956ed97045b7c3072f02d6b
  • bf503b5eb456f74187a17bb8c08bccc9b3d91a7f0f6fd50110540b051510d1ca
  • e1c86a578e8d0b272e2df2d6dd9033c842c7ab5b09cda72c588e0410dc3048f7
Комментарии: 0
Похожие записи
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
5 дней
IOC

Более 10 тысяч доменов зарегистрировано для смишинга, выдающего себя за службы платных услуг и доставки посылок

security
Злоумышленник, использующий один и тот же шаблон домена, зарегистрировал более 10 тысяч доменов для различных SMS-фишинговых афер (smishing). Описание  Все корневые имена доменов начинаются со строки: com-.