Auto-Color Backdoor
V dubnu 2025, během sofistikované kybernetické kampaně zaměřené na americkou chemickou společnost, útočníci zneužili nyní opravenou kritickou zranitelnost v SAP NetWeaver k nasazení zadních vrátek Auto-Color. Incident poukazuje na přetrvávající rizika, která představují neopravené systémy a pokročilé malwarové hrozby zaměřené na vysoce hodnotné cíle.
Obsah
Využití CVE-2025-31324: Brána k vzdálenému spuštění kódu
Jádrem útoku je CVE-2025-31324, kritická zranitelnost v SAP NetWeaver, která umožňuje vzdálené spuštění kódu (RCE) a byla společností SAP opravena v dubnu 2025. Navzdory opravě útočníci využili neopravených systémů k napadení veřejně vystaveného zařízení. Útok trval tři dny a zahrnoval stahování škodlivých souborů a komunikaci s infrastrukturou propojenou s malwarem Auto-Color.
Auto-Color: Nenápadné a sofistikované zadní vrátka
Auto-Color, poprvé analyzovaný v únoru 2025, funguje podobně jako trojský kůň pro vzdálený přístup (RAT) určený k infikování linuxových prostředí. Již dříve byl pozorován při útocích zaměřených na univerzity a vládní subjekty v Severní Americe a Asii v období od listopadu do prosince 2024.
Jednou z nejvýznamnějších vlastností Auto-Color je jeho schopnost skrýt své škodlivé chování, když se nemůže dostat ke svému serveru Command-and-Control (C2). Tato funkce naznačuje vysoký stupeň provozní bezpečnosti a záměr vyhnout se odhalení během reakce na incidenty nebo analýzy sandboxu.
Klíčové funkce automatického barvení
Auto-Color nabízí komplexní sadu škodlivých funkcí, které jsou navrženy tak, aby poskytovaly hloubkovou kontrolu nad napadenými systémy. Patří mezi ně:
- Možnosti reverzní skořápky
- Vytvoření a spuštění souboru
- Konfigurace systémového proxy serveru
- Globální úprava užitečného zatížení
- Profilování systému
- Samosmazání pomocí funkce kill switch
Tyto funkce umožňují útočníkům nejen udržovat trvalý přístup, ale také se dynamicky přizpůsobovat a v případě potřeby mazat důkazy.
Časová osa útoku: Promyšlená infiltrace
Bezpečnostní experti identifikovali útok 28. dubna, kdy byl na serveru s přístupem k internetu, na kterém pravděpodobně běží SAP NetWeaver, detekován podezřelý binární soubor ELF. První známky průzkumu a skenování se však údajně začaly objevovat nejméně tři dny předtím, což naznačuje pečlivé plánování.
Útočníci využili CVE-2025-31324 k doručení druhé fáze malwaru, binárního souboru ELF, který se ukázal jako zadní vrátka Auto-Color. Po nasazení malware prokázal hluboké porozumění linuxovým systémům a prováděl akce s pečlivou přesností, čímž minimalizoval svou dopadovou stopu, aby se vyhnul včasnému odhalení.
Budíček pro podnikovou bezpečnost
Tento incident podtrhuje důležitost včasného záplatování a neustálého monitorování kritické infrastruktury. Sofistikovaný malware, jako je Auto-Color, spolu se zranitelnostmi v podnikových platformách, jako je SAP NetWeaver, představuje významné riziko pro organizace napříč odvětvími. IT týmy musí upřednostňovat správu zranitelností a být připraveny detekovat a reagovat na nenápadné a přetrvávající hrozby.
