Auto-Color Backdoor
2025 m. balandžio mėn. per sudėtingą kibernetinę ataką, nukreiptą prieš JAV įsikūrusią chemijos įmonę, kibernetiniai veikėjai pasinaudojo dabar pataisyta kritine SAP NetWeaver spraga, kad įdiegtų „Auto-Color“ galines duris. Šis incidentas pabrėžia nuolatinę riziką, kurią kelia nepataisytos sistemos ir pažangios kenkėjiškos programos, nukreiptos į didelės vertės taikinius.
Turinys
CVE-2025-31324 išnaudojimas: vartai į nuotolinį kodo vykdymą
Atakos pagrindas yra CVE-2025-31324 – kritinė neautentifikuotų failų įkėlimo spraga SAP NetWeaver sistemoje. Ši spraga leidžia vykdyti nuotolinį kodą (RCE) ir SAP ją ištaisė 2025 m. balandžio mėn. Nepaisant ištaisymo, kenkėjiškų programų kūrėjai pasinaudojo netaisytomis sistemomis, kad pažeistų viešai prieinamą įrenginį. Ataka truko tris dienas ir apėmė kenkėjiškų failų atsisiuntimą bei bendravimą su infrastruktūra, susijusia su „Auto-Color“ kenkėjiška programa.
Automatinis spalvų keitimas: slaptas ir modernus galinis durų sprendimas
Pirmą kartą analizuota 2025 m. vasarį, „Auto-Color“ veikia panašiai kaip nuotolinės prieigos Trojos arklys (RAT), skirtas užkrėsti „Linux“ aplinkas. Anksčiau jis buvo pastebėtas atakose, nukreiptose prieš universitetus ir vyriausybines įstaigas visoje Šiaurės Amerikoje ir Azijoje 2024 m. lapkričio–gruodžio mėn.
Viena iš iškalbingiausių „Auto-Color“ savybių yra jos gebėjimas nuslėpti kenkėjišką elgesį, kai negali pasiekti savo komandų ir valdymo (C2) serverio. Ši savybė rodo aukštą operacinio saugumo laipsnį ir ketinimą išvengti aptikimo reaguojant į incidentus arba atliekant „smėlio dėžės“ analizę.
Pagrindinės automatinio spalvų paryškinimo funkcijos
„Auto-Color“ siūlo išsamų kenkėjiškų funkcijų rinkinį, skirtą užtikrinti gilų pažeistų sistemų valdymą. Tai apima:
- Atvirkštinio apvalkalo galimybės
- Failo kūrimas ir vykdymas
- Sistemos tarpinio serverio konfigūracija
- Visuotinis naudingosios apkrovos pakeitimas
- Sistemos profiliavimas
- Savęs ištrynimas naudojant išjungimo jungiklį
Šios funkcijos leidžia užpuolikams ne tik išlaikyti nuolatinę prieigą, bet ir dinamiškai prisitaikyti bei prireikus ištrinti įrodymus.
Atakos laiko juosta: apskaičiuota infiltracija
Saugumo ekspertai įsilaužimą nustatė balandžio 28 d., kai prie interneto prijungtame serveryje, kuriame greičiausiai veikia „SAP NetWeaver“, buvo aptiktas įtartinas ELF dvejetainis failas. Tačiau pranešama, kad pirminiai žvalgybos ir skenavimo požymiai prasidėjo mažiausiai trimis dienomis anksčiau, o tai rodo kruopštų planavimą.
Užpuolikai panaudojo CVE-2025-31324, kad pristatytų antrojo etapo naudingąją informaciją – ELF dvejetainį failą, kuris pasirodė esąs „Auto-Color“ galinės durys. Dislokuota kenkėjiška programa pademonstravo gilų „Linux“ sistemų supratimą ir atliko veiksmus išmatuotu tikslumu, sumažindama savo pėdsaką, kad būtų išvengta ankstyvo aptikimo.
Žadinantis skambutis įmonių saugumui
Šis incidentas pabrėžia savalaikio pataisymų diegimo ir nuolatinės kritinės infrastruktūros stebėsenos svarbą. Sudėtinga kenkėjiška programa, tokia kaip „Auto-Color“, kartu su įmonių platformų, tokių kaip „SAP NetWeaver“, pažeidžiamumais kelia didelę grėsmę įvairaus sektoriaus organizacijoms. IT komandos turi teikti pirmenybę pažeidžiamumų valdymui ir būti pasirengusios aptikti bei reaguoti į slaptas, nuolatines grėsmes.
