عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة Auto-Color Backdoor

Auto-Color Backdoor

بواسطة Mezo في البرمجيات الخبيثة, الأبواب الخلفية
ترجمة الى:

في حملة هجوم إلكتروني متطورة استهدفت شركة كيميائية أمريكية في أبريل 2025، استغلّ مُخرِجو التهديدات ثغرة أمنية حرجة مُصحّحة حاليًا في نظام SAP NetWeaver لنشر برمجية Auto-Color الخلفية. تُسلّط هذه الحادثة الضوء على المخاطر المستمرة التي تُشكّلها الأنظمة غير المُصحّحة وتهديدات البرامج الضارة المُتقدّمة التي تستهدف أهدافًا عالية القيمة.

استغلال CVE-2025-31324: بوابة لتنفيذ التعليمات البرمجية عن بُعد

يكمن جوهر الهجوم في ثغرة أمنية حرجة تُسمى CVE-2025-31324، وهي ثغرة أمنية حرجة في تحميل الملفات غير المُصادق عليها في SAP NetWeaver. تسمح هذه الثغرة بتنفيذ التعليمات البرمجية عن بُعد (RCE)، وقد قامت SAP بإصلاحها في أبريل 2025. ورغم هذا الإصلاح، استغلّ مُخرِجو التهديدات الأنظمة غير المُصحّحة لاختراق جهاز مُتاح للعامة. استمر الهجوم ثلاثة أيام، وشمل تنزيل ملفات ضارة والتواصل مع البنية التحتية المرتبطة ببرمجية Auto-Color الخبيثة.

Auto-Color: باب خلفي خفي ومتطور

تم تحليل Auto-Color لأول مرة في فبراير 2025، وهو يعمل بشكل مشابه لفيروس الوصول عن بُعد (RAT) المصمم لإصابة بيئات Linux. وقد لوحظ سابقًا في هجمات استهدفت جامعات وهيئات حكومية في أمريكا الشمالية وآسيا بين نوفمبر وديسمبر 2024.

من أبرز خصائص Auto-Color قدرتها على إخفاء سلوكها الخبيث عند تعذر وصولها إلى خادم القيادة والتحكم (C2). تُشير هذه الميزة إلى مستوى عالٍ من الأمان التشغيلي وهدف لتجنب الكشف أثناء الاستجابة للحوادث أو تحليل بيئة الحماية.

القدرات الرئيسية للتلوين التلقائي

يوفر Auto-Color مجموعة شاملة من الميزات الضارة المصممة لتوفير تحكم شامل في الأنظمة المخترقة. وتشمل هذه الميزات:

  • قدرات الغلاف العكسي
  • إنشاء الملفات وتنفيذها
  • تكوين وكيل النظام
  • تعديل الحمولة العالمية
  • ملف تعريف النظام
  • الحذف الذاتي عبر مفتاح القتل

وتسمح هذه الميزات للمهاجمين ليس فقط بالحفاظ على الوصول المستمر ولكن أيضًا بالتكيف بشكل ديناميكي ومحو الأدلة عند الضرورة.

الجدول الزمني للهجوم: تسلل مدروس

حدد خبراء الأمن عملية الاختراق في 28 أبريل/نيسان، عندما اكتُشف ملف ثنائي مشبوه من نوع ELF على خادم متصل بالإنترنت، يُرجَّح أنه يعمل بنظام SAP NetWeaver. ومع ذلك، أفادت التقارير أن العلامات الأولية للاستطلاع والمسح بدأت قبل ثلاثة أيام على الأقل، مما يشير إلى تخطيط دقيق.

استخدم المهاجمون ثغرة CVE-2025-31324 لإيصال حمولة المرحلة الثانية، وهي ملف ثنائي ELF تبيّن أنه الباب الخلفي للون التلقائي. بعد نشره، أظهر البرنامج الخبيث فهمًا عميقًا لأنظمة Linux ونفذ عمليات بدقة متناهية، مما قلل من أثره لتجنب الكشف المبكر.

نداء إيقاظ لأمن المؤسسات

تؤكد هذه الحادثة أهمية التصحيحات الأمنية في الوقت المناسب والمراقبة المستمرة للبنية التحتية الحيوية. تُشكل البرمجيات الخبيثة المتطورة مثل Auto-Color، إلى جانب الثغرات الأمنية في منصات المؤسسات مثل SAP NetWeaver، خطرًا كبيرًا على المؤسسات في مختلف القطاعات. يجب على فرق تكنولوجيا المعلومات إعطاء الأولوية لإدارة الثغرات الأمنية والاستعداد للكشف عن التهديدات الخفية والمستمرة والاستجابة لها.

الشائع

نظامك مصاب بثلاثة فيروسات منبثقة

المواقع المارقة, البرامج غير المرغوب فيها
يتعرض المستخدمون باستمرار لعمليات احتيال إلكترونية متطورة ومتزايدة. ومن الأمثلة التي كشف عنها باحثو الأمن السيبراني، خدعة "نظامك مصاب بثلاثة فيروسات". يستغل هذا الأسلوب الخادع الخوف، ويرسل رسائل...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
36,034
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...