Auto-Color Backdoor
I en sofistikeret cyberangrebskampagne rettet mod en amerikansk kemikalievirksomhed i april 2025 udnyttede trusselsaktører en nu opdateret kritisk sårbarhed i SAP NetWeaver til at implementere Auto-Color-bagdøren. Hændelsen fremhæver de fortsatte risici, som ikke-opdateringer og avancerede malwaretrusler rettet mod værdifulde mål udgør.
Indholdsfortegnelse
Udnyttelse af CVE-2025-31324: En gateway til fjernudførelse af kode
Kernen i angrebet er CVE-2025-31324, en kritisk sårbarhed i SAP NetWeaver, der kan føre til upload af ikke-godkendte filer. Denne fejl tillader fjernudførelse af kode (RCE) og blev rettet af SAP i april 2025. Trods rettelsen udnyttede trusselsaktører ikke-opdateringer til at kompromittere en offentligt eksponeret enhed. Angrebet strakte sig over tre dage og omfattede downloads af ondsindede filer og kommunikation med infrastruktur knyttet til Auto-Color-malwaren.
Auto-Color: En skjult og sofistikeret bagdør
Auto-Color, der først blev analyseret i februar 2025, fungerer på samme måde som en fjernadgangstrojan (RAT), der er designet til at inficere Linux-miljøer. Den er tidligere blevet set i angreb rettet mod universiteter og offentlige enheder i Nordamerika og Asien mellem november og december 2024.
En af de mest sigende karakteristika ved Auto-Color er dens evne til at skjule sin ondsindede adfærd, når den ikke kan nå sin Command-and-Control (C2) server. Denne funktion antyder en høj grad af driftssikkerhed og en intention om at undgå detektion under hændelsesrespons eller sandbox-analyse.
Nøglefunktioner ved automatisk farvelægning
Auto-Color tilbyder en omfattende pakke af skadelige funktioner, der er designet til at give dybdegående kontrol over kompromitterede systemer. Disse omfatter:
- Reverse shell-funktioner
- Oprettelse og udførelse af filer
- Konfiguration af systemproxy
- Global modifikation af nyttelast
- Systemprofilering
- Selvsletning via kill switch
Disse funktioner giver angribere ikke blot mulighed for at opretholde vedvarende adgang, men også for at tilpasse sig dynamisk og slette beviser, når det er nødvendigt.
Tidslinje for angrebet: En beregnet infiltration
Sikkerhedseksperter identificerede indtrængen den 28. april, da en mistænkelig ELF-binærfil blev opdaget på en internetvendt server, der sandsynligvis kørte SAP NetWeaver. De første tegn på rekognoscering og scanning begyndte dog angiveligt mindst tre dage tidligere, hvilket indikerer omhyggelig planlægning.
Angriberne brugte CVE-2025-31324 til at levere en anden-trins nyttelast, en ELF-binær fil, der viste sig at være Auto-Color-bagdøren. Efter implementeringen demonstrerede malwaren en dyb forståelse af Linux-systemer og udførte handlinger med målt præcision, hvilket minimerede dens fodaftryk for at undgå tidlig opdagelse.
Et vækkeur for virksomhedssikkerhed
Denne hændelse understreger vigtigheden af rettidig patching og løbende overvågning af kritisk infrastruktur. Sofistikeret malware som Auto-Color kombineret med sårbarheder i virksomhedsplatforme som SAP NetWeaver udgør en betydelig risiko for organisationer på tværs af sektorer. IT-teams skal prioritere sårbarhedsstyring og være forberedte på at opdage og reagere på skjulte, vedvarende trusler.
