摘要：据香港IDC新天域互联了解，近日，一种名为“Auto - Color”的Linux恶意软件引发广泛关注，其先进的攻击手段和不断演变的特性，给众多行业带来了极大风险。

据香港IDC新天域互联了解，近日，一种名为“Auto - Color”的Linux恶意软件引发广泛关注，其先进的攻击手段和不断演变的特性，给众多行业带来了极大风险。

Auto - Color于2024年11月初首次被发现，迅速在未打补丁或老旧的Linux发行版（如Ubuntu 18.04、CentOS 7、Debian 9）中传播。研究人员通过代码结构、域名使用及过往攻击模式等，将其归因于BlackCrescent威胁组织。该组织此前就因针对关键基础设施发动攻击而备受瞩目。

Auto - Color具备一系列令人咋舌的能力。它通过在日志中注入ANSI颜色代码，使恶意日志条目变得混乱或难以察觉，以此实现高级混淆。同时，它还会操纵ld.preload，让恶意库优先加载，进而拦截系统调用。并且，它能够挂钩核心C库函数，过滤掉/proc文件系统中恶意网络连接和进程的信息，成功躲避标准监控工具的检测。

在权限提升方面，Auto - Color利用了CVE - 2025 - 1023（内核级权限提升）和CVE - 2024 - 3375（Web管理控制台路径遍历）等漏洞，甚至疑似拥有可绕过SELinux或AppArmor限制的零日漏洞。更为棘手的是，它带有一个“kill switch”，一旦触发，能够自行删除攻击痕迹，包括日志和相关模块，严重阻碍了感染后的调查取证工作。

从攻击目标来看，金融、医疗、制造、科研以及云服务提供商等行业的组织成为重灾区，在北美、欧洲和亚洲部分地区均有感染报告。其传播途径多种多样，包括供应链攻击（如在开源项目和DevOps工具中注入恶意代码、劫持CI/CD管道）、网络钓鱼和社会工程（发送伪装成内部IT补丁或“颜色方案增强”的邮件、在协作平台分享恶意脚本）、利用面向公众服务的漏洞（如SSH暴力破解、攻击过时的Web服务器框架）以及内部威胁（窃取或购买SSH凭据、恶意内部人员故意植入）。

一旦入侵成功，Auto - Color会通过创建或修改systemd服务文件、在cron和Bash配置文件中注入恶意代码等方式实现持久化。它的主要有效载荷（ELF）可进行凭据收集、创建远程shell和执行系统命令，并且在检测到安全调查时能覆盖日志并自我销毁。其命令和控制（C2）基础设施采用了域名伪装、分布式架构以及加密通道等技术，使得追踪和阻断变得极为困难。

面对如此强大的恶意软件，我们并非束手无策。在防护措施上，及时进行补丁管理至关重要，需立即修复CVE - 2025 - 1023、CVE - 2024 - 3375等Linux漏洞，并启用自动更新功能。同时，要强化安全防护，严格限制用户权限，采用基于角色的访问控制（RBAC），确保SSH安全，实施网络分段，并部署入侵检测系统（IDS）或入侵防御系统（IPS）。在安全监测方面，利用专为Linux设计的端点检测与响应（EDR）工具进行实时内存分析和行为警报，通过SIEM集中分析日志以检测异常，使用IDS/IPS监测恶意域名和IP地址。此外，制定完善的事件响应计划，定期进行数据备份，关注威胁情报，开展安全意识培训，采用零信任模型等，都能有效降低被攻击的风险。

来源：霸菱科技