Auto-Color Backdoor
2025. gada aprīlī sarežģītā kiberuzbrukuma kampaņā, kas bija vērsta pret ASV bāzētu ķīmisko vielu uzņēmumu, apdraudējumu radītāji izmantoja tagad jau ielāpotu kritisku SAP NetWeaver ievainojamību, lai izvietotu Auto-Color aizmugurējās durvis. Šis incidents izceļ pastāvīgos riskus, ko rada nelāpotas sistēmas un uzlaboti ļaunprogrammatūras draudi, kas vērsti pret augstvērtīgiem mērķiem.
Satura rādītājs
CVE-2025-31324 izmantošana: vārteja uz attālinātu koda izpildi
Uzbrukuma pamatā ir CVE-2025-31324 — kritiska neautentificētu failu augšupielādes ievainojamība SAP NetWeaver sistēmā. Šī nepilnība ļauj attālināti izpildīt kodu (RCE), un SAP to novērsa 2025. gada aprīlī. Neskatoties uz labojumu, apdraudējuma izraisītāji izmantoja neaizlāpītas sistēmas, lai apdraudētu publiski pieejamu ierīci. Uzbrukums ilga trīs dienas un ietvēra ļaunprātīgu failu lejupielādi un saziņu ar infrastruktūru, kas saistīta ar Auto-Color ļaunprogrammatūru.
Automātiskā krāsošana: slepena un izsmalcināta aizmugurējā durvis
Pirmo reizi analizēta 2025. gada februārī, Auto-Color darbojas līdzīgi attālās piekļuves Trojas zirgam (RAT), kas paredzēts Linux vides inficēšanai. Iepriekš tas ir novērots uzbrukumos, kas bija vērsti pret universitātēm un valdības iestādēm visā Ziemeļamerikā un Āzijā laikā no 2024. gada novembra līdz decembrim.
Viena no Auto-Color raksturīgākajām īpašībām ir spēja slēpt ļaunprātīgo rīcību, ja tā nevar sasniegt savu vadības un kontroles (C2) serveri. Šī funkcija liecina par augstu darbības drošības pakāpi un nodomu izvairīties no atklāšanas incidentu reaģēšanas vai smilškastes analīzes laikā.
Automātiskās krāsošanas galvenās iespējas
Auto-Color piedāvā visaptverošu ļaunprātīgu funkciju komplektu, kas paredzēts, lai nodrošinātu dziļu kontroli pār apdraudētām sistēmām. Tās ietver:
- Reversās čaulas iespējas
- Faila izveide un izpilde
- Sistēmas starpniekservera konfigurācija
- Globālās lietderīgās slodzes modifikācija
- Sistēmas profilēšana
- Pašdzēšana, izmantojot kill switch
Šīs funkcijas ļauj uzbrucējiem ne tikai saglabāt pastāvīgu piekļuvi, bet arī dinamiski pielāgoties un nepieciešamības gadījumā dzēst pierādījumus.
Uzbrukuma laika skala: aprēķināta infiltrācija
Drošības eksperti ielaušanos konstatēja 28. aprīlī, kad interneta serverī, kurā, visticamāk, darbojas SAP NetWeaver, tika atklāts aizdomīgs ELF binārais fails. Tomēr sākotnējās izlūkošanas un skenēšanas pazīmes, kā ziņots, sākās vismaz trīs dienas iepriekš, kas liecina par rūpīgu plānošanu.
Uzbrucēji izmantoja CVE-2025-31324, lai piegādātu otrās pakāpes vērtumu — ELF bināro failu, kas izrādījās Auto-Color aizmugurējā durtiņa. Pēc izvietošanas ļaunprogrammatūra demonstrēja dziļu Linux sistēmu izpratni un veica darbības ar izmērītu precizitāti, samazinot savu ietekmi un izvairoties no agrīnas atklāšanas.
Modinātāja zvans uzņēmumu drošībai
Šis incidents uzsver kritiskās infrastruktūras savlaicīgas ielāpu ieviešanas un nepārtrauktas uzraudzības nozīmi. Sarežģīta ļaunprogrammatūra, piemēram, Auto-Color, apvienojumā ar ievainojamībām uzņēmumu platformās, piemēram, SAP NetWeaver, rada ievērojamu risku organizācijām dažādās nozarēs. IT komandām ir jāpiešķir prioritāte ievainojamību pārvaldībai un jābūt gatavām atklāt un reaģēt uz nemanāmiem, pastāvīgiem draudiem.
