{"id":1556855,"date":"2025-02-26T19:36:28","date_gmt":"2025-02-26T21:36:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-linux-malware-auto-color-accorde-des-pirates-a-distance-acces-a-distance-aux-systemes-compromis\/"},"modified":"2025-02-26T19:36:33","modified_gmt":"2025-02-26T21:36:33","slug":"le-nouveau-linux-malware-auto-color-accorde-des-pirates-a-distance-acces-a-distance-aux-systemes-compromis","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-linux-malware-auto-color-accorde-des-pirates-a-distance-acces-a-distance-aux-systemes-compromis\/","title":{"rendered":"Le nouveau Linux Malware &#8220; Auto-Color &#8221; accorde des pirates \u00e0 distance Acc\u00e8s \u00e0 distance aux syst\u00e8mes compromis"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 Linux \/ Point final<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Le-nouveau-Linux-Malware-Auto-Color-accorde-des-pirates-a.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Les universit\u00e9s et les organisations gouvernementales en Am\u00e9rique du Nord et en Asie ont \u00e9t\u00e9 cibl\u00e9es par un logiciel malveillant Linux auparavant sans papiers appel\u00e9 Auto Color entre novembre et d\u00e9cembre 2024, selon de nouvelles conclusions de Palo Alto Networks Unit 42.<\/p>\n<p>&#8220;Une fois install\u00e9, la couleur automatique permet aux acteurs de menace un acc\u00e8s \u00e0 distance complet aux machines compromises, ce qui rend tr\u00e8s difficile la supprimer sans logiciel sp\u00e9cialis\u00e9&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Alex Armstrong <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/new-linux-backdoor-auto-color\/\" target=\"_blank\">dit<\/a> Dans une r\u00e9daction technique du malware.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La couleur automatique est ainsi nomm\u00e9e en fonction du nom du fichier Les renomm\u00e9s de charge utile initiaux lui-m\u00eame. On ne sait actuellement pas comment il atteint ses objectifs, mais ce qui est sant, c&#8217;est qu&#8217;il oblige la victime \u00e0 l&#8217;ex\u00e9cuter explicitement sur leur machine Linux.<\/p>\n<p>Un aspect notable du malware est l&#8217;arsenal des astuces qu&#8217;il utilise pour \u00e9chapper \u00e0 la d\u00e9tection. Cela comprend l&#8217;utilisation de noms de fichiers apparemment innocul\u00e9s comme la porte ou l&#8217;\u0153uf, la dissimulation des connexions de commande et de contr\u00f4le (C2) et de tirer parti des algorithmes de chiffrement propri\u00e9taires pour le masquage des informations de communication et de configuration.<\/p>\n<p>Une fois lanc\u00e9 avec des privil\u00e8ges racine, il continue d&#8217;installer un implant de biblioth\u00e8que malveillant nomm\u00e9 &#8220;libcext.so.2&#8221;, copies et renomm\u00e9s \u00e0 \/ var \/ log \/ cross \/ auto-couleur, et apporte des modifications \u00e0 &#8220;\/etc\/ld.preload&#8221; pour \u00e9tablir une persistance sur l&#8217;h\u00f4te.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740605787_858_Le-nouveau-Linux-Malware-Auto-Color-accorde-des-pirates-a.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740605787_858_Le-nouveau-Linux-Malware-Auto-Color-accorde-des-pirates-a.png\" alt=\"\" border=\"0\" data-original-height=\"827\" data-original-width=\"728\"\/><\/a><\/div>\n<p>&#8220;Si l&#8217;utilisateur actuel manque de privil\u00e8ges racine, le malware ne proc\u00e9dera pas \u00e0 l&#8217;installation de l&#8217;implant de biblioth\u00e8que \u00e9vasif sur le syst\u00e8me&#8221;, a d\u00e9clar\u00e9 Armstrong. &#8220;Il se produira autant que possible dans ses phases ult\u00e9rieures sans cette biblioth\u00e8que.&#8221;<\/p>\n<p>L&#8217;implant de biblioth\u00e8que est \u00e9quip\u00e9 pour accrocher passivement les fonctions utilis\u00e9es dans <a rel=\"noopener nofollow\" href=\"https:\/\/www.man7.org\/linux\/man-pages\/man7\/libc.7.html\" target=\"_blank\">libc<\/a> pour intercepter le <a rel=\"noopener nofollow\" href=\"https:\/\/www.man7.org\/linux\/man-pages\/man2\/open.2.html\" target=\"_blank\">appel syst\u00e8me ouvert ()<\/a>qu&#8217;il utilise pour masquer les communications C2 en modifiant &#8220;\/ proc \/ net \/ tcp&#8221;, un fichier qui contient des informations sur toutes les connexions r\u00e9seau actives. Une technique similaire a \u00e9t\u00e9 adopt\u00e9e par un autre logiciel malveillant Linux appel\u00e9 Symbiote.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il emp\u00eache \u00e9galement la d\u00e9sinstallation des logiciels malveillants en prot\u00e9geant le &#8220;\/etc\/ld.preload&#8221; contre la modification ou la suppression suppl\u00e9mentaire.<\/p>\n<p>Auto-Color proc\u00e8de ensuite \u00e0 contacter un serveur C2, accordant \u00e0 l&#8217;op\u00e9rateur la possibilit\u00e9 d&#8217;appara\u00eetre un shell invers\u00e9, de collecter des informations syst\u00e8me, de cr\u00e9er ou de modifier des fichiers, d&#8217;ex\u00e9cuter des programmes, d&#8217;utiliser la machine comme indicateur de communication entre une adresse IP distante et une adresse IP cible sp\u00e9cifique, et m\u00eame de s&#8217;installer au moyen d&#8217;un commutateur de mise \u00e0 mort.<\/p>\n<p>&#8220;Lors de l&#8217;ex\u00e9cution, le logiciel malveillant tente de recevoir des instructions distantes d&#8217;un serveur de commandes qui peut cr\u00e9er des arri\u00e8re-oreurs \u00e0 coque inverse sur le syst\u00e8me de la victime&#8221;, a d\u00e9clar\u00e9 Armstrong. &#8220;Les acteurs de la menace compilent et cryptent s\u00e9par\u00e9ment chaque serveur de commandes IP \u00e0 l&#8217;aide d&#8217;un algorithme propri\u00e9taire.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/new-linux-malware-auto-color-grants.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 f\u00e9vrier 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 Linux \/ Point final Les universit\u00e9s et les organisations gouvernementales en Am\u00e9rique du Nord et en Asie ont \u00e9t\u00e9 cibl\u00e9es par un logiciel malveillant Linux auparavant sans papiers appel\u00e9 Auto Color entre novembre et d\u00e9cembre 2024, selon de nouvelles conclusions de Palo Alto Networks Unit 42. &#8220;Une fois install\u00e9, la couleur [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1556856,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[15283,7408,274266,274265,283103,507,4168,20350,79002,274264,4161,274263,6124,133,2526,18088,4174,274267,4160,680,4394,238617,246491,4172,5046,79016,4166,4164],"class_list":["post-1556855","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acces","tag-accorde","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-autocolor","tag-aux","tag-comment-pirater","tag-compromis","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-distance","tag-linux","tag-malware","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-pirates","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-systemes","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1556855","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1556855"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1556855\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1556856"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1556855"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1556855"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1556855"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}