Auto-Color Backdoor

در یک حمله سایبری پیچیده که در آوریل ۲۰۲۵ یک شرکت مواد شیمیایی مستقر در ایالات متحده را هدف قرار داد، عوامل تهدید از یک آسیب‌پذیری بحرانی که اکنون وصله شده است در SAP NetWeaver برای استقرار درب پشتی Auto-Color سوءاستفاده کردند. این حادثه خطرات مداوم ناشی از سیستم‌های وصله نشده و تهدیدات بدافزار پیشرفته را که اهداف با ارزش بالا را هدف قرار می‌دهند، برجسته می‌کند.

بهره‌برداری از آسیب‌پذیری CVE-2025-31324: دروازه‌ای برای اجرای کد از راه دور

در هسته این حمله، آسیب‌پذیری بحرانی CVE-2025-31324 برای آپلود فایل بدون احراز هویت در SAP NetWeaver قرار دارد. این نقص امکان اجرای کد از راه دور (RCE) را فراهم می‌کند و در آوریل 2025 توسط SAP وصله شد. با وجود این وصله، عوامل تهدید از سیستم‌های وصله نشده برای نفوذ به یک دستگاه در معرض دید عموم استفاده کردند. این حمله طی سه روز انجام شد و شامل دانلود فایل‌های مخرب و ارتباط با زیرساخت‌های مرتبط با بدافزار Auto-Color بود.

رنگ خودکار: یک درِ پشتیِ مخفی و پیچیده

بدافزار Auto-Color که اولین بار در فوریه ۲۰۲۵ مورد تجزیه و تحلیل قرار گرفت، عملکردی مشابه یک تروجان دسترسی از راه دور (RAT) دارد که برای آلوده کردن محیط‌های لینوکس طراحی شده است. این بدافزار قبلاً در حملاتی که دانشگاه‌ها و نهادهای دولتی در سراسر آمریکای شمالی و آسیا را بین نوامبر و دسامبر ۲۰۲۴ هدف قرار داده بود، مشاهده شده است.

یکی از بارزترین ویژگی‌های Auto-Color، توانایی آن در پنهان کردن رفتار مخرب خود در زمانی است که نمی‌تواند به سرور فرماندهی و کنترل (C2) خود دسترسی پیدا کند. این ویژگی نشان‌دهنده‌ی درجه‌ی بالایی از امنیت عملیاتی و قصد جلوگیری از شناسایی در طول واکنش به حادثه یا تجزیه و تحلیل جعبه‌ی شنی است.

قابلیت‌های کلیدی رنگ خودکار

Auto-Color مجموعه‌ای جامع از ویژگی‌های مخرب را ارائه می‌دهد که برای کنترل عمیق سیستم‌های آسیب‌دیده طراحی شده‌اند. این ویژگی‌ها عبارتند از:

• قابلیت‌های پوسته معکوس
• ایجاد و اجرای فایل
• پیکربندی پروکسی سیستم
• اصلاح سراسری بار مفید
• پروفایلینگ سیستم
• حذف خودکار از طریق سوئیچ kill

این ویژگی‌ها به مهاجمان اجازه می‌دهد نه تنها دسترسی مداوم را حفظ کنند، بلکه به صورت پویا خود را وفق دهند و در صورت لزوم شواهد را پاک کنند.

جدول زمانی حمله: یک نفوذ حساب‌شده

کارشناسان امنیتی این نفوذ را در ۲۸ آوریل شناسایی کردند، زمانی که یک فایل باینری ELF مشکوک روی یک سرور متصل به اینترنت که احتمالاً SAP NetWeaver را اجرا می‌کند، شناسایی شد. با این حال، طبق گزارش‌ها، نشانه‌های اولیه شناسایی و اسکن حداقل سه روز قبل آغاز شده بود که نشان دهنده برنامه‌ریزی دقیق است.

مهاجمان از آسیب‌پذیری CVE-2025-31324 برای انتقال یک payload مرحله دوم، یک فایل باینری ELF که معلوم شد همان درب پشتی Auto-Color است، استفاده کردند. پس از استقرار، این بدافزار درک عمیقی از سیستم‌های لینوکس نشان داد و اقداماتی را با دقت اندازه‌گیری شده اجرا کرد و ردپای خود را به حداقل رساند تا از شناسایی زودهنگام جلوگیری کند.

زنگ خطری برای امنیت سازمانی

این حادثه اهمیت وصله‌گذاری به موقع و نظارت مداوم بر زیرساخت‌های حیاتی را برجسته می‌کند. بدافزارهای پیچیده‌ای مانند Auto-Color، همراه با آسیب‌پذیری‌های موجود در پلتفرم‌های سازمانی مانند SAP NetWeaver، خطر قابل توجهی را برای سازمان‌ها در بخش‌های مختلف ایجاد می‌کنند. تیم‌های فناوری اطلاعات باید مدیریت آسیب‌پذیری را در اولویت قرار دهند و برای شناسایی و پاسخ به تهدیدهای پنهان و مداوم آماده باشند.