Auto-Color Backdoor
In una sofisticata campagna di cyberattacco mirata a un'azienda chimica statunitense nell'aprile 2025, gli autori delle minacce hanno sfruttato una vulnerabilità critica, ora risolta, in SAP NetWeaver per implementare la backdoor Auto-Color. L'incidente evidenzia i rischi persistenti rappresentati dai sistemi non aggiornati e dalle minacce malware avanzate mirate a obiettivi di alto valore.
Sommario
Sfruttamento di CVE-2025-31324: un gateway per l’esecuzione di codice remoto
Al centro dell'attacco c'è la vulnerabilità CVE-2025-31324, una vulnerabilità critica di caricamento di file non autenticati in SAP NetWeaver. Questa falla consente l'esecuzione di codice remoto (RCE) ed è stata corretta da SAP nell'aprile 2025. Nonostante la correzione, gli autori della minaccia hanno sfruttato sistemi non aggiornati per compromettere un dispositivo esposto al pubblico. L'attacco si è svolto nell'arco di tre giorni e ha incluso download di file dannosi e comunicazioni con l'infrastruttura collegata al malware Auto-Color.
Auto-Color: una backdoor furtiva e sofisticata
Analizzato per la prima volta nel febbraio 2025, Auto-Color funziona in modo simile a un trojan di accesso remoto (RAT) progettato per infettare gli ambienti Linux. È già stato individuato in attacchi contro università ed enti governativi in Nord America e Asia tra novembre e dicembre 2024.
Una delle caratteristiche più significative di Auto-Color è la sua capacità di nascondere il proprio comportamento dannoso quando non riesce a raggiungere il server di Comando e Controllo (C2). Questa caratteristica suggerisce un elevato livello di sicurezza operativa e l'intento di evitare il rilevamento durante la risposta agli incidenti o l'analisi sandbox.
Funzionalità principali di Auto-Color
Auto-Color offre una suite completa di funzionalità dannose progettate per fornire un controllo approfondito sui sistemi compromessi. Tra queste:
- Capacità di shell inversa
- Creazione ed esecuzione dei file
- Configurazione del proxy di sistema
- Modifica del carico utile globale
- Profilazione del sistema
- Auto-eliminazione tramite kill switch
Queste funzionalità consentono agli aggressori non solo di mantenere un accesso persistente, ma anche di adattarsi dinamicamente e cancellare le prove quando necessario.
Cronologia dell’attacco: un’infiltrazione calcolata
Gli esperti di sicurezza hanno identificato l'intrusione il 28 aprile, quando un binario ELF sospetto è stato rilevato su un server connesso a Internet che probabilmente eseguiva SAP NetWeaver. Tuttavia, i primi segnali di ricognizione e scansione sarebbero iniziati almeno tre giorni prima, a indicare un'attenta pianificazione.
Gli aggressori hanno utilizzato CVE-2025-31324 per distribuire un payload di seconda fase, un binario ELF che si è rivelato essere la backdoor Auto-Color. Una volta implementato, il malware ha dimostrato una profonda conoscenza dei sistemi Linux ed ha eseguito azioni con precisione misurata, riducendo al minimo il suo impatto per evitare il rilevamento precoce.
Un campanello d’allarme per la sicurezza aziendale
Questo incidente sottolinea l'importanza di patch tempestive e di un monitoraggio continuo delle infrastrutture critiche. Malware sofisticati come Auto-Color, uniti alle vulnerabilità di piattaforme aziendali come SAP NetWeaver, rappresentano un rischio significativo per le organizzazioni di tutti i settori. I team IT devono dare priorità alla gestione delle vulnerabilità ed essere preparati a rilevare e rispondere a minacce persistenti e invisibili.
