Auto-Color Backdoor
En una sofisticada campanya de ciberatac dirigida a una empresa química amb seu als Estats Units l'abril de 2025, els actors amenaçadors van explotar una vulnerabilitat crítica, ara amb pedaços, a SAP NetWeaver per implementar la porta del darrere Auto-Color. L'incident posa de manifest els riscos continus que plantegen els sistemes sense pedaços i les amenaces avançades de programari maliciós dirigides a objectius d'alt valor.
Taula de continguts
Explotació de CVE-2025-31324: una porta d’entrada a l’execució remota de codi
Al centre de l'atac hi ha la CVE-2025-31324, una vulnerabilitat crítica de càrrega de fitxers no autenticats a SAP NetWeaver. Aquesta falla permet l'execució remota de codi (RCE) i va ser corregida per SAP a l'abril de 2025. Malgrat la correcció, els actors amenaçadors van aprofitar sistemes sense pedaços per comprometre un dispositiu exposat públicament. L'atac es va desenvolupar durant tres dies i va incloure descàrregues de fitxers maliciosos i comunicació amb la infraestructura vinculada al programari maliciós Auto-Color.
Auto-Color: una porta del darrere discreta i sofisticada
Analitzat per primera vegada el febrer del 2025, Auto-Color funciona de manera similar a un troià d'accés remot (RAT) dissenyat per infectar entorns Linux. Anteriorment s'havia vist en atacs dirigits a universitats i entitats governamentals a Amèrica del Nord i Àsia entre novembre i desembre del 2024.
Una de les característiques més reveladores d'Auto-Color és la seva capacitat d'ocultar el seu comportament maliciós quan no pot arribar al seu servidor de comandament i control (C2). Aquesta característica suggereix un alt grau de seguretat operativa i una intenció d'evitar la detecció durant la resposta a incidents o l'anàlisi de sandbox.
Capacitats clau de l’autocoloració
Auto-Color ofereix un conjunt complet de funcions malicioses dissenyades per proporcionar un control profund sobre els sistemes compromesos. Aquestes inclouen:
- Capacitats de shell inversa
- Creació i execució de fitxers
- Configuració del proxy del sistema
- Modificació de la càrrega útil global
- Perfils del sistema
- Autoeliminació mitjançant un interruptor de desactivació
Aquestes característiques permeten als atacants no només mantenir un accés persistent, sinó també adaptar-se dinàmicament i esborrar proves quan sigui necessari.
Cronologia de l’atac: una infiltració calculada
Els experts en seguretat van identificar la intrusió el 28 d'abril, quan es va detectar un binari ELF sospitós en un servidor amb connexió a Internet que probablement executava SAP NetWeaver. Tanmateix, els primers signes de reconeixement i escaneig van començar almenys tres dies abans, cosa que indica una planificació acurada.
Els atacants van utilitzar el CVE-2025-31324 per lliurar una segona càrrega útil, un binari ELF que va resultar ser la porta del darrere Auto-Color. Un cop desplegat, el programari maliciós va demostrar un coneixement profund dels sistemes Linux i va executar accions amb una precisió mesurada, minimitzant la seva petjada per evitar una detecció precoç.
Una crida d’atenció per a la seguretat empresarial
Aquest incident subratlla la importància de l'aplicació oportuna de pegats i la supervisió contínua de les infraestructures crítiques. El programari maliciós sofisticat com Auto-Color, juntament amb les vulnerabilitats en plataformes empresarials com SAP NetWeaver, presenta un risc significatiu per a les organitzacions de tots els sectors. Els equips de TI han de prioritzar la gestió de vulnerabilitats i estar preparats per detectar i respondre a amenaces furtives i persistents.
