Auto-Color Backdoor
Egy 2025 áprilisában egy amerikai vegyipari vállalatot célzó kifinomult kibertámadási kampányban a kibernetikus szereplők egy azóta javított kritikus sebezhetőséget kihasználva telepítették az Auto-Color hátsó ajtót. Az incidens rávilágít a javítatlan rendszerek és a nagy értékű célpontokat célzó fejlett rosszindulatú fenyegetések által jelentett folyamatos kockázatokra.
Tartalomjegyzék
A CVE-2025-31324 kihasználása: Átjáró a távoli kódfuttatáshoz
A támadás középpontjában a CVE-2025-31324 nevű kritikus, hitelesítetlen fájlfeltöltési sebezhetőség áll az SAP NetWeaverben. Ez a hiba távoli kódfuttatást (RCE) tesz lehetővé, és az SAP 2025 áprilisában javította ki. A javítás ellenére a támadók a nem javított rendszereket kihasználva próbáltak feltörni egy nyilvánosan elérhető eszközt. A támadás három napon át tartott, és magában foglalta a rosszindulatú fájlletöltéseket, valamint az Auto-Color rosszindulatú programhoz kapcsolódó infrastruktúrával való kommunikációt.
Auto-Color: Egy rejtett és kifinomult hátsó ajtó
Az Auto-Color vírust először 2025 februárjában elemezték, és hasonlóan működik, mint egy távoli hozzáférésű trójai vírus (RAT), amelyet Linux környezetek megfertőzésére terveztek. Korábban már látták 2024 novembere és decembere között Észak-Amerika és Ázsia egyetemeit és kormányzati szerveket célzó támadásokban.
Az Auto-Color egyik legbeszédesebb jellemzője, hogy képes elrejteni a rosszindulatú viselkedését, amikor nem éri el a Command-and-Control (C2) szerverét. Ez a funkció magas fokú működési biztonságra és arra utal, hogy a rendszer az incidensekre való reagálás vagy a sandbox elemzés során elkerüli az észlelést.
Az automatikus színezés főbb funkciói
Az Auto-Color átfogó kártékony funkciócsomagot kínál, amelynek célja a feltört rendszerek feletti mélyreható ellenőrzés biztosítása. Ezek a következők:
- Fordított shell képességek
- Fájl létrehozása és végrehajtása
- Rendszerproxy konfiguráció
- Globális hasznos teher módosítása
- Rendszerprofilozás
- Öntörlés kill switch-en keresztül
Ezek a funkciók lehetővé teszik a támadók számára nemcsak az állandó hozzáférés fenntartását, hanem a dinamikus alkalmazkodást és a bizonyítékok törlését is, ha szükséges.
A támadás idővonala: Számított beszivárgás
Biztonsági szakértők április 28-án azonosították a behatolást, amikor egy gyanús ELF bináris fájlt észleltek egy internetre csatlakozó, valószínűleg SAP NetWeaver rendszert futtató szerveren. A felderítés és a szkennelés kezdeti jelei azonban állítólag legalább három nappal korábban megjelentek, ami gondos tervezésre utal.
A támadók a CVE-2025-31324-et használták egy második szintű hasznos fájl, egy ELF bináris fájl eljuttatására, amelyről kiderült, hogy az Auto-Color hátsó ajtó. A telepítés után a rosszindulatú program mélyreható Linux rendszerismeretet mutatott, és kimért pontossággal hajtotta végre a műveleteket, minimalizálva a lábnyomát a korai észlelés elkerülése érdekében.
Ébresztő a vállalati biztonság terén
Ez az incidens rávilágít a kritikus infrastruktúra időben történő javításának és folyamatos felügyeletének fontosságára. Az olyan kifinomult rosszindulatú programok, mint az Auto-Color, a vállalati platformok, például az SAP NetWeaver sebezhetőségeivel együtt jelentős kockázatot jelentenek a szervezetek számára minden ágazatban. Az informatikai csapatoknak prioritásként kell kezelniük a sebezhetőségek kezelését, és fel kell készülniük a rejtett, állandó fenyegetések észlelésére és kezelésére.
