มหาวิทยาลัย และองค์กรภาครัฐในอเมริกาเหนือ และเอเชียตกเป็นเป้าหมายของมัลแวร์บนระบบ Linux ที่ไม่เคยถูกพบมาก่อนที่ชื่อว่า Auto-Color ระหว่างเดือนพฤศจิกายนถึงธันวาคม 2024 ตามผลการค้นพบใหม่จาก Palo Alto Networks Unit 42

นักวิจัยด้านความปลอดภัย Alex Armstrong รายงานมัลแวร์ในทางเทคนิคว่า "เมื่อติดตั้งแล้ว Auto-Color จะทำให้ผู้โจมตีเข้าถึงเครื่องที่ถูกบุกรุกจากระยะไกลได้เต็มรูปแบบ ทำให้ยากต่อการลบออกโดยไม่ต้องใช้ซอฟต์แวร์เฉพาะทาง"

Auto-color เป็นชื่อที่ได้มาจากชื่อไฟล์ที่เพย์โหลดในขั้นเริ่มต้นเปลี่ยนชื่อตัวเองหลังจากติดตั้ง ปัจจุบันยังไม่มีข้อมูลว่ามัลแวร์ดังกล่าวเข้าถึงเป้าหมายได้อย่างไร แต่ที่ทราบคือมันต้องการให้เหยื่อรันไฟล์นี้บนระบบ Linux ของตัวเองอย่างแน่นอน

ลักษณะเด่นอย่างหนึ่งของมัลแวร์นี้คือเทคนิคที่ใช้ในการหลบเลี่ยงการตรวจจับ ซึ่งรวมถึงการใช้ชื่อไฟล์ที่ดูไม่เป็นอันตราย เช่น door หรือ egg การซ่อนการเชื่อมต่อกับ command-and-control (C2 Server) และการใช้ประโยชน์จากอัลกอริทึมการเข้ารหัสเพื่อปกปิดข้อมูลการเชื่อมตอ่ และการกำหนดค่าต่าง ๆ

เมื่อเปิดใช้งานด้วยสิทธิ์ root แล้ว มัลแวร์จะดำเนินการติดตั้งไลบรารีที่เป็นอันตรายชื่อว่า "libcext.

พบมัลแวร์ rootkit ตัวใหม่บนระบบ Linux ชื่อ 'Pumakit' ซึ่งใช้เทคนิคการซ่อนตัว และการยกระดับสิทธิ์ขั้นสูงเพื่อปกปิดการมีอยู่ในระบบ

มัลแวร์ดังกล่าวเป็นชุดซอฟต์แวร์หลายส่วน ประกอบไปด้วย Dropper, ไฟล์ปฏิบัติการที่ทำงานในหน่วยความจำ, kernel module rootkit และ shared object (SO) userland rootkit

Pumakit ถูกพบโดย Elastic Security ในไฟล์ไบนารีชื่อ 'cron' ที่ถูกอัปโหลดไว้บน VirusTotal เมื่อวันที่ 4 กันยายน 2024 โดยทางทีมงานได้ระบุว่า ยังไม่ทราบอย่างแน่ชัดว่าใครเป็นผู้ใช้งาน หรือเป้าหมายของมัลแวร์คืออะไร

โดยปกติ เครื่องมือเหล่านี้จะถูกใช้โดยผู้ไม่หวังดีที่มีความเชี่ยวชาญสูง ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ และระบบขององค์กร เพื่อขโมยข้อมูล, ข้อมูลทางการเงิน และก่อให้เกิดการหยุดชะงักของระบบ

The Pumakit

Pumakit ใช้การโจมตีแบบหลายขั้นตอน โดยเริ่มจาก dropper ที่ชื่อ 'cron' ซึ่งจะดำเนินการดาวน์โหลดเพย์โหลดที่ฝังอยู่ใน ('/memfd:tgt' และ '/memfd:wpn') ทั้งหมดจากหน่วยความจำ

เพย์โหลด '/memfd:wpn' ทำงานใน child process โดยจะดำเนินการตรวจสอบสภาพแวดล้อม และแก้ไข kernel image ก่อนที่จะติดตั้งโมดูล LKM rootkit ('puma.

มีการค้นพบมัลแวร์ UEFI bootkit ตัวแรกที่มุ่งเป้าไปที่ระบบระบบปฏิบัติการ Linux โดยเฉพาะ ซึ่งถือเป็นการเปลี่ยนแปลงจากก่อนหน้านี้ที่มักจะมุ่งเป้าไปที่ระบบระบบปฏิบัติการ Windows ซึ่งภัยคุกคามแบบ bootkit มักจะแอบซ่อนได้ดี และถูกกำจัดได้ยาก

มัลแวร์ Linux ที่ชื่อว่า 'Bootkitty' เป็นมัลแวร์ที่ทำงานได้เฉพาะใน Ubuntu บางเวอร์ชัน และบางการตั้งค่าเท่านั้น โดยยังไม่ใช่การโจมตีเต็มรูปแบบที่ใช้สำหรับการโจมตีจริง

Bootkit เป็นมัลแวร์ที่ออกแบบมาเพื่อแพร่กระจายตัวในกระบวนการบูตของคอมพิวเตอร์ โดยที่ตัวมันเองจะเริ่มทำงานก่อนที่ระบบปฏิบัติการจะทำงาน ทำให้มันจะสามารถควบคุมระบบได้ในระดับ low level

ข้อดีของการใช้วิธีนี้คือ bootkit สามารถหลบเลี่ยงการตรวจจับของเครื่องมือด้าน Security ที่ทำงานในระดับ system level ได้ และสามารถปรับเปลี่ยน components ของระบบ หรือมีการเรียกใช้โค้ดที่เป็นอันตรายได้โดยไม่เสี่ยงที่จะถูกตรวจจับ

นักวิจัยจาก ESET ที่ค้นพบ Bootkitty เตือนว่า การค้นพบครั้งนี้เป็นการพัฒนาครั้งสำคัญของมัลแวร์ UEFI bootkit แม้ว่าผลกระทบจริงในขณะนี้จะยังไม่ร้ายแรงมาก

Linux bootkit กำลังถูกพัฒนาขึ้น

ESET ค้นพบ Bootkitty หลังจากตรวจสอบไฟล์ที่น่าสงสัย (bootkit.

มีการค้นพบ backdoor ตัวใหม่บน Linux ชื่อ 'WolfsBane' ซึ่งเชื่อว่าเป็นการดัดแปลงมาจากมัลแวร์บน Windows ที่ใช้โดยกลุ่มแฮ็กเกอร์จีนที่ชื่อ 'Gelsemium'
(more…)

พบช่องโหว่ Local Privilege Escalation (LPE) ห้ารายการใน needrestart utility ที่ใช้ใน Ubuntu Linux โดย utility นี้ถูกนำมาใช้ครั้งแรกเมื่อ 10 ปีก่อนในเวอร์ชัน 21.04 (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับ ransomware สายพันธุ์ใหม่ที่เรียกว่า Helldown ในรูปแบบ Linux โดยระบุว่ากลุ่มผู้โจมตีกำลังขยายขอบเขตการโจมตีของตนให้กว้างขึ้น (more…)

แพ็กเกจ Python ที่เป็นอันตรายชื่อ "Fabrice" ซึ่งได้ถูกเผยแพร่บน PyPI มาตั้งแต่ปี 2021 ได้ใช้เทคนิค typosquatting โดยเลียนแบบชื่อของไลบรารี SSH automation ยอดนิยมอย่าง Fabric โดยมันสามารถขโมยข้อมูล AWS credentials อย่างลับ ๆ ผ่านการดาวน์โหลดมากกว่า 37,000 ครั้ง (more…)

Cyble ตรวจพบการโจมตีหลายครั้ง ไม่ว่าจะเป็นการโจมตีโดยใช้ช่องโหว่ต่าง ๆ, Malware Intrusions, แคมเปญฟิชชิ่ง และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors เมื่อสัปดาห์ที่ผ่านมา (more…)

พบช่องโหว่ใน CUPS open-source printing system ที่ Hacker ต้องอยู่ภายใต้เงื่อนไขบางประการ เพื่อที่จะสามารถโจมตีโดยการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนระบบ Linux ที่มีช่องโหว่ (more…)

TargetCompany ซึ่งเป็นหนึ่งในบริษัทที่ถูกโจมตีจาก Mallox ransomware ได้พบว่ามีการใช้ Kryptina ransomware ที่ได้รับการปรับปรุง ในการโจมตีระบบ Linux ของพวกเขา (more…)