Auto-Color Backdoor
В сложна кибератака, насочена към американска химическа компания през април 2025 г., злонамерени лица са използвали вече отстранена критична уязвимост в SAP NetWeaver, за да внедрят задната вратичка Auto-Color. Инцидентът подчертава продължаващите рискове, породени от неотстранени системи и усъвършенствани заплахи от зловреден софтуер, насочени към ценни цели.
Съдържание
Експлоатиране на CVE-2025-31324: Вход към дистанционно изпълнение на код
В основата на атаката е CVE-2025-31324, критична уязвимост за качване на неавтентични файлове в SAP NetWeaver. Тази уязвимост позволява дистанционно изпълнение на код (RCE) и беше отстранена от SAP през април 2025 г. Въпреки корекцията, злонамерените лица се възползваха от неотстранени системи, за да компрометират публично достъпно устройство. Атаката се разгърна в продължение на три дни и включваше изтегляне на злонамерени файлове и комуникация с инфраструктура, свързана със зловредния софтуер Auto-Color.
Auto-Color: Скрит и изтънчен заден ход
Анализиран за първи път през февруари 2025 г., Auto-Color функционира подобно на троянски кон за отдалечен достъп (RAT), предназначен да заразява Linux среди. Преди това е бил наблюдаван при атаки, насочени към университети и правителствени организации в Северна Америка и Азия между ноември и декември 2024 г.
Една от най-показателните характеристики на Auto-Color е способността му да прикрива злонамереното си поведение, когато не може да достигне своя команден и контролен (C2) сървър. Тази функция предполага висока степен на оперативна сигурност и намерение за избягване на откриване по време на реагиране при инциденти или анализ в пясъчник.
Ключови възможности на Auto-Color
Auto-Color предлага цялостен набор от злонамерени функции, предназначени да осигурят задълбочен контрол върху компрометирани системи. Те включват:
- Възможности за обратна обвивка
- Създаване и изпълнение на файлове
- Конфигурация на системния прокси сървър
- Глобална модификация на полезния товар
- Профилиране на системата
- Самоизтриване чрез авариен ключ
Тези функции позволяват на нападателите не само да поддържат постоянен достъп, но и да се адаптират динамично и да изтриват доказателства, когато е необходимо.
Хронология на атаката: Изчислено проникване
Експерти по сигурността са идентифицирали проникването на 28 април, когато е открит подозрителен ELF двоичен файл на сървър, свързан с интернет, вероятно работещ с SAP NetWeaver. Първоначалните признаци на разузнаване и сканиране обаче са започнали поне три дни по-рано, което показва внимателно планиране.
Атакуващите използваха CVE-2025-31324, за да доставят полезен товар от втори етап – ELF двоичен файл, който се оказа задната вратичка на Auto-Color. След внедряването си, зловредният софтуер демонстрира дълбоко разбиране на Linux системите и изпълнява действия с премерена прецизност, минимизирайки своето въздействие, за да избегне ранно откриване.
Сигнал за събуждане за корпоративната сигурност
Този инцидент подчертава важността на навременното инсталиране на корекции и непрекъснатото наблюдение на критичната инфраструктура. Сложният зловреден софтуер като Auto-Color, съчетан с уязвимости в корпоративни платформи като SAP NetWeaver, представлява значителен риск за организациите в различни сектори. ИТ екипите трябва да дадат приоритет на управлението на уязвимостите и да бъдат готови да откриват и реагират на скрити, постоянни заплахи.
