Auto-Color Backdoor
Dalam kempen serangan siber canggih yang menyasarkan syarikat bahan kimia yang berpangkalan di AS pada April 2025, pelaku ancaman mengeksploitasi kelemahan kritikal yang telah ditambal sekarang dalam SAP NetWeaver untuk menggunakan pintu belakang Auto-Color. Insiden itu menyerlahkan risiko berterusan yang ditimbulkan oleh sistem yang tidak ditambal dan ancaman perisian hasad lanjutan yang bertujuan untuk sasaran bernilai tinggi.
Isi kandungan
Mengeksploitasi CVE-2025-31324: Gerbang ke Perlaksanaan Kod Jauh
Inti serangan itu ialah CVE-2025-31324, kerentanan muat naik fail tidak disahkan kritikal dalam SAP NetWeaver. Cacat ini membolehkan pelaksanaan kod jauh (RCE) dan telah ditambal oleh SAP pada April 2025. Walaupun telah diperbaiki, pelaku ancaman memanfaatkan sistem yang tidak ditambal untuk menjejaskan peranti yang terdedah kepada umum. Serangan itu berlaku selama tiga hari dan termasuk muat turun fail berniat jahat dan komunikasi dengan infrastruktur yang dikaitkan dengan perisian hasad Auto-Color.
Auto-Warna: Pintu Belakang yang Senyap dan Canggih
Pertama kali dianalisis pada Februari 2025, Auto-Color berfungsi sama seperti trojan akses jauh (RAT) yang direka untuk menjangkiti persekitaran Linux. Ia sebelum ini dilihat dalam serangan yang menyasarkan universiti dan entiti kerajaan di seluruh Amerika Utara dan Asia antara November dan Disember 2024.
Salah satu ciri Auto-Color yang paling ketara ialah keupayaannya untuk menyembunyikan tingkah laku berniat jahat apabila ia tidak dapat mencapai pelayan Command-and-Control (C2). Ciri ini mencadangkan tahap keselamatan operasi yang tinggi dan niat untuk mengelakkan pengesanan semasa tindak balas insiden atau analisis kotak pasir.
Keupayaan Utama Auto-Warna
Auto-Color menawarkan suite komprehensif ciri berniat jahat yang direka untuk memberikan kawalan mendalam ke atas sistem yang terjejas. Ini termasuk:
- Keupayaan shell terbalik
- Penciptaan dan pelaksanaan fail
- Konfigurasi proksi sistem
- Pengubahsuaian muatan global
- Pemprofilan sistem
- Pemadaman sendiri melalui suis bunuh
Ciri-ciri ini membolehkan penyerang bukan sahaja mengekalkan akses berterusan tetapi juga menyesuaikan diri secara dinamik dan memadamkan bukti apabila perlu.
Garis Masa Serangan: Penyusupan Dikira
Pakar keselamatan mengenal pasti pencerobohan itu pada 28 April, apabila perduaan ELF yang mencurigakan dikesan pada pelayan yang menghadap ke Internet yang berkemungkinan menjalankan SAP NetWeaver. Bagaimanapun, tanda-tanda awal peninjauan dan pengimbasan dilaporkan bermula sekurang-kurangnya tiga hari lebih awal, menunjukkan perancangan yang teliti.
Penyerang menggunakan CVE-2025-31324 untuk menyampaikan muatan peringkat kedua, binari ELF yang ternyata menjadi pintu belakang Auto-Color. Setelah digunakan, perisian hasad menunjukkan pemahaman yang mendalam tentang sistem Linux dan melaksanakan tindakan dengan ketepatan terukur, meminimumkan jejaknya untuk mengelakkan pengesanan awal.
Panggilan Bangun untuk Keselamatan Perusahaan
Insiden ini menekankan kepentingan menampal tepat pada masanya dan pemantauan berterusan infrastruktur kritikal. Perisian hasad yang canggih seperti Auto-Color, ditambah dengan kelemahan dalam platform perusahaan seperti SAP NetWeaver, memberikan risiko yang ketara kepada organisasi merentas sektor. Pasukan IT mesti mengutamakan pengurusan kerentanan dan bersedia untuk mengesan dan bertindak balas terhadap ancaman yang tersembunyi dan berterusan
