Auto-Color Backdoor

2025년 4월, 미국 화학 회사를 표적으로 한 정교한 사이버 공격 캠페인에서 위협 행위자들은 SAP NetWeaver의 패치된 중요 취약점을 악용하여 Auto-Color 백도어를 배포했습니다. 이 사건은 패치되지 않은 시스템과 고가치 표적을 노리는 지능형 악성코드 위협이 지속적인 위험을 초래함을 보여줍니다.

CVE-2025-31324 악용: 원격 코드 실행의 관문

공격의 핵심은 SAP NetWeaver의 심각한 인증되지 않은 파일 업로드 취약점인 CVE-2025-31324입니다. 이 취약점은 원격 코드 실행(RCE)을 허용하며, SAP는 2025년 4월에 패치를 발표했습니다. 패치에도 불구하고, 공격자들은 패치되지 않은 시스템을 이용하여 공개적으로 노출된 기기를 감염시켰습니다. 이 공격은 3일 동안 진행되었으며, 악성 파일 다운로드와 Auto-Color 맬웨어와 연결된 인프라와의 통신이 포함되었습니다.

자동 색상: 은밀하고 정교한 백도어

2025년 2월에 처음 분석된 Auto-Color는 Linux 환경을 감염시키도록 설계된 원격 접속 트로이 목마(RAT)와 유사하게 작동합니다. 2024년 11월부터 12월까지 북미와 아시아 전역의 대학과 정부 기관을 대상으로 한 공격에서 발견되었습니다.

Auto-Color의 가장 두드러진 특징 중 하나는 명령 및 제어(C2) 서버에 접속할 수 없을 때 악의적인 행동을 은폐할 수 있다는 것입니다. 이 기능은 높은 수준의 운영 보안을 제공하며, 사고 대응 또는 샌드박스 분석 시 탐지를 피하려는 의도를 보여줍니다.

자동 색상 기능의 주요 기능

Auto-Color는 손상된 시스템에 대한 심층적인 제어를 제공하도록 설계된 포괄적인 악성 기능 모음을 제공합니다. 여기에는 다음이 포함됩니다.

• 역쉘 기능
• 파일 생성 및 실행
• 시스템 프록시 구성
• 글로벌 페이로드 수정
• 시스템 프로파일링
• 킬 스위치를 통한 자체 삭제

이러한 기능을 통해 공격자는 지속적인 액세스를 유지할 수 있을 뿐만 아니라 필요한 경우 동적으로 적응하고 증거를 삭제할 수도 있습니다.

공격의 타임라인: 계산된 침투

보안 전문가들은 4월 28일 SAP NetWeaver를 실행 중인 것으로 추정되는 인터넷 연결 서버에서 의심스러운 ELF 바이너리가 감지되면서 이 침입을 확인했습니다. 그러나 정찰 및 스캐닝의 초기 징후는 최소 3일 전부터 시작된 것으로 알려져, 치밀한 계획이 있었음을 시사합니다.

공격자는 CVE-2025-31324를 이용하여 2단계 페이로드인 ELF 바이너리를 유포했는데, 이는 Auto-Color 백도어로 밝혀졌습니다. 배포된 후, 이 악성코드는 Linux 시스템에 대한 깊은 이해를 바탕으로 정밀하게 작업을 실행하여 공격 범위를 최소화함으로써 조기 탐지를 피했습니다.

기업 보안에 대한 경종

이 사건은 중요 인프라에 대한 적시 패치 적용과 지속적인 모니터링의 중요성을 강조합니다. Auto-Color와 같은 정교한 악성코드는 SAP NetWeaver와 같은 엔터프라이즈 플랫폼의 취약점과 결합되어 모든 산업 분야의 조직에 심각한 위험을 초래합니다. IT 팀은 취약점 관리를 최우선으로 하고 은밀하고 지속적인 위협을 탐지하고 대응할 준비를 갖춰야 합니다.