Darktrace предотвратила скрытую кибератаку с использованием Auto-Color Backdoor на Linux-системах

Auto-Color представляет собой особо опасный бэкдор, нацеленный на Linux-системы. Его главная особенность - способность маскироваться под системные файлы, такие как /var/log/cross/auto-color, и внедрять вредоносные библиотеки (libcext.so.2) для перехвата системных функций. Для обеспечения устойчивости в системе троянец модифицирует файл /etc/ld.so.preload, что позволяет ему загружаться перед всеми другими библиотеками и оставаться незамеченным. При этом Auto-Color демонстрирует высокую адаптивность: если у него нет прав root, он ограничивает свою активность, а при наличии привилегий выполняет полномасштабную инвазию.

Ключевой особенностью Auto-Color является его зависимость от соединения с командным сервером (C2). Если связь с C2 невозможна (например, в изолированных сетях или песочницах), бэкдор приостанавливает выполнение вредоносных действий, что затрудняет его анализ и обнаружение. Это делает его крайне сложным для классических систем защиты, основанных на сигнатурных методах.

Атака началась 25 апреля с подозрительных входящих соединений, содержащих URI /developmentserver/metadatauploader, что указывало на попытку эксплуатации CVE-2025-31324. Два дня спустя злоумышленники загрузили ZIP-архив через уязвимость, после чего устройство начало отправлять DNS-запросы на подозрительные домены, связанные с тестированием уязвимостей. Darktrace мгновенно отреагировала, ограничив активность устройства на 30 минут, чтобы предотвратить дальнейшие отклонения от нормального поведения.

Несмотря на это, атака продолжилась: загружались дополнительные файлы, включая shell-скрипт config.sh, который был выполнен через helper.jsp - ранее известный метод эксплуатации SAP NetWeaver. Затем устройство установило связь с IP-адресами, ассоциированными с китайскими хакерскими группами, и в конечном итоге загрузило исполняемый файл Auto-Color. Darktrace заблокировала попытки соединения с C2-сервером, что не позволило бэкдору завершить свою цепочку атаки.

Аналитики Darktrace установили, что Auto-Color поддерживает модульный C2-протокол, включающий функции обратной оболочки, выполнение файлов, настройку прокси и даже механизм самоуничтожения. Однако благодаря оперативному вмешательству SOC-команды Darktrace и продлению автономных защитных мер на 24 часа, атака была нейтрализована до эскалации.

Palo Alto Networks ранее уже публиковали информацию о вредоносной программе для Linux - Auto-color, с данной контрольной суммой.

IPv4

• 110.42.42.64
• 119.187.23.132
• 120.231.21.8
• 123.146.1.140
• 139.59.143.102
• 146.70.19.122
• 148.135.80.109
• 149.78.184.215
• 155.94.199.59
• 165.227.173.41
• 18.166.61.47
• 183.2.62.199
• 188.166.87.88
• 193.149.129.31
• 196.251.85.31
• 202.189.7.77
• 209.38.208.202
• 31.222.254.27
• 31.222.254.45
• 45.32.126.94
• 58.19.11.97
• 64.227.32.66
• 91.193.19.109

SHA256

• 270fc72074c697ba5921f7b61a6128b968ca6ccbf8906645e796cfc3072d4c43