81/68 (IT) ประจำวันศุกร์ที่ 28 กุมภาพันธ์ 2568
หน่วยวิจัย Palo Alto Networks Unit 42 เปิดเผยการค้นพบมัลแวร์ Linux ตัวใหม่ที่ไม่เคยมีการบันทึกมาก่อน ชื่อ Auto-Color ซึ่งพุ่งเป้าโจมตีมหาวิทยาลัยและองค์กรภาครัฐในอเมริกาเหนือและเอเชียระหว่างเดือนพฤศจิกายนถึงธันวาคม 2567 โดยมัลแวร์นี้เปิดโอกาสให้ผู้โจมตีสามารถเข้าถึงระบบที่ติดเชื้อจากระยะไกลได้โดยสมบูรณ์ ทำให้การกำจัดออกจากระบบทำได้ยากหากไม่มีซอฟต์แวร์เฉพาะทาง
จุดเด่นของ Auto-Color คือความสามารถในการหลบเลี่ยงการตรวจจับ โดยใช้ชื่อไฟล์ที่ดูไม่เป็นอันตราย เช่น “door” หรือ “egg” พร้อมทั้งซ่อนการเชื่อมต่อไปยังเซิร์ฟเวอร์สั่งการและควบคุม (C2) ผ่านอัลกอริธึมการเข้ารหัสที่เป็นกรรมสิทธิ์ เมื่อได้รับสิทธิ์ระดับรูท มัลแวร์จะติดตั้งไลบรารีอันตราย “libcext.so.2” และแก้ไขไฟล์ระบบเพื่อสร้างความคงอยู่บนเครื่องเป้าหมาย อีกทั้งยังป้องกันการถูกลบโดยปกป้องไฟล์คอนฟิกหลักของระบบ
เมื่อถูกเรียกใช้งาน Auto-Color จะติดต่อกับเซิร์ฟเวอร์ C2 เพื่อเปิดช่องทางให้ผู้โจมตีสามารถควบคุมระบบจากระยะไกล สร้างเชลล์ย้อนกลับ แก้ไขไฟล์ สั่งรันโปรแกรม และแม้แต่ใช้เครื่องที่ติดเชื้อจะเป็นตัวกลางในการสื่อสารกับเป้าหมายอื่น โดยนักวิจัยเตือนว่ามัลแวร์นี้อาจเป็นภัยคุกคามร้ายแรงต่อระบบ Linux และแนะนำให้ผู้ดูแลระบบเฝ้าระวังพฤติกรรมผิดปกติ รวมถึงใช้ซอฟต์แวร์รักษาความปลอดภัยที่สามารถตรวจจับมัลแวร์ประเภทนี้
แหล่งข่าว https://thehackernews.com/2025/02/new-linux-malware-auto-color-grants.html
