Auto-Color Backdoor
U sofisticiranoj kampanji kibernetičkog napada usmjerenoj na američku kemijsku tvrtku u travnju 2025., akteri prijetnji iskoristili su sada zakrpanu kritičnu ranjivost u SAP NetWeaveru kako bi postavili stražnja vrata Auto-Color. Incident naglašava kontinuirane rizike koje predstavljaju nezakrpani sustavi i napredne prijetnje zlonamjernog softvera usmjerene na visokovrijedne mete.
Sadržaj
Iskorištavanje CVE-2025-31324: Put do udaljenog izvršavanja koda
U središtu napada je CVE-2025-31324, kritična ranjivost u SAP NetWeaveru koja se odnosi na prijenos neautentificiranih datoteka. Ova ranjivost omogućuje udaljeno izvršavanje koda (RCE) i SAP ju je ispravio u travnju 2025. Unatoč ispravku, akteri prijetnji iskoristili su nezakrpane sustave kako bi kompromitirali javno izloženi uređaj. Napad se odvijao tijekom tri dana i uključivao je preuzimanje zlonamjernih datoteka i komunikaciju s infrastrukturom povezanom sa zlonamjernim softverom Auto-Color.
Auto-Color: Prikriveni i sofisticirani stražnji ulaz
Auto-Color, prvi put analiziran u veljači 2025., funkcionira slično trojancu za udaljeni pristup (RAT) dizajniranom za zarazu Linux okruženja. Prethodno je viđen u napadima usmjerenim na sveučilišta i vladine institucije diljem Sjeverne Amerike i Azije između studenog i prosinca 2024.
Jedna od najznačajnijih karakteristika Auto-Colora je njegova sposobnost prikrivanja zlonamjernog ponašanja kada ne može dosegnuti svoj Command-and-Control (C2) server. Ova značajka sugerira visok stupanj operativne sigurnosti i namjeru izbjegavanja otkrivanja tijekom odgovora na incident ili analize sandboxa.
Ključne mogućnosti automatskog bojenja
Auto-Color nudi sveobuhvatan paket zlonamjernih značajki osmišljenih za pružanje duboke kontrole nad kompromitiranim sustavima. To uključuje:
- Mogućnosti obrnute ljuske
- Stvaranje i izvršavanje datoteke
- Konfiguracija proxyja sustava
- Globalna modifikacija korisnog sadržaja
- Profiliranje sustava
- Samobrisanje putem kill switcha
Ove značajke omogućuju napadačima ne samo održavanje trajnog pristupa već i dinamičko prilagođavanje i brisanje dokaza kada je to potrebno.
Kronologija napada: Proračunata infiltracija
Sigurnosni stručnjaci identificirali su upad 28. travnja kada je sumnjivi ELF binarni fajl otkriven na serveru s pristupom internetu na kojem je vjerojatno pokrenut SAP NetWeaver. Međutim, početni znakovi izviđanja i skeniranja navodno su počeli najmanje tri dana ranije, što ukazuje na pažljivo planiranje.
Napadači su koristili CVE-2025-31324 za isporuku drugog stupnja korisnog tereta, ELF binarne datoteke koja se ispostavila kao stražnja vrata za Auto-Color. Nakon postavljanja, zlonamjerni softver pokazao je duboko razumijevanje Linux sustava i izvršavao je radnje s odmjerenom preciznošću, minimizirajući svoj utjecaj kako bi izbjegao rano otkrivanje.
Poziv na buđenje za sigurnost poduzeća
Ovaj incident naglašava važnost pravovremenog ažuriranja zakrpa i kontinuiranog praćenja kritične infrastrukture. Sofisticirani zlonamjerni softver poput Auto-Colora, u kombinaciji s ranjivostima u poslovnim platformama poput SAP NetWeavera, predstavlja značajan rizik za organizacije u svim sektorima. IT timovi moraju dati prioritet upravljanju ranjivostima i biti spremni otkriti i odgovoriti na prikrivene, uporne prijetnje.
