Auto-Color Backdoor
I en sofistikert cyberangrepskampanje rettet mot et USA-basert kjemikalieselskap i april 2025 utnyttet trusselaktører en nå oppdatert kritisk sårbarhet i SAP NetWeaver for å distribuere Auto-Color-bakdøren. Hendelsen fremhever de fortsatte risikoene som utgjør uoppdaterte systemer og avanserte skadevaretrusler rettet mot verdifulle mål.
Innholdsfortegnelse
Utnyttelse av CVE-2025-31324: En inngangsport til ekstern kodekjøring
Kjernen i angrepet er CVE-2025-31324, en kritisk sårbarhet for uautorisert filopplasting i SAP NetWeaver. Denne feilen tillater ekstern kodekjøring (RCE) og ble oppdatert av SAP i april 2025. Til tross for rettingen utnyttet trusselaktører uoppdateringssystemer for å kompromittere en offentlig eksponert enhet. Angrepet utspilte seg over tre dager og inkluderte skadelige filnedlastinger og kommunikasjon med infrastruktur knyttet til Auto-Color-skadevaren.
Auto-Color: En skjult og sofistikert bakdør
Auto-Color, som først ble analysert i februar 2025, fungerer på samme måte som en trojaner for fjerntilgang (RAT) som er utviklet for å infisere Linux-miljøer. Den har tidligere blitt observert i angrep rettet mot universiteter og offentlige enheter i Nord-Amerika og Asia mellom november og desember 2024.
En av de mest avslørende egenskapene til Auto-Color er dens evne til å skjule sin ondsinnede oppførsel når den ikke kan nå sin Command-and-Control (C2)-server. Denne funksjonen antyder en høy grad av driftssikkerhet og en intensjon om å unngå deteksjon under hendelsesrespons eller sandkasseanalyse.
Viktige funksjoner for automatisk fargelegging
Auto-Color tilbyr en omfattende pakke med skadelige funksjoner som er utformet for å gi dyp kontroll over kompromitterte systemer. Disse inkluderer:
- Omvendt skallfunksjoner
- Oppretting og utførelse av filer
- Konfigurasjon av systemproxy
- Global modifisering av nyttelast
- Systemprofilering
- Selvsletting via kill switch
Disse funksjonene lar angripere ikke bare opprettholde vedvarende tilgang, men også tilpasse seg dynamisk og slette bevis når det er nødvendig.
Tidslinje for angrepet: En kalkulert infiltrasjon
Sikkerhetseksperter identifiserte innbruddet 28. april, da en mistenkelig ELF-binærfil ble oppdaget på en internettvendt server som sannsynligvis kjørte SAP NetWeaver. De første tegnene på rekognosering og skanning skal imidlertid ha begynt minst tre dager tidligere, noe som indikerer nøye planlegging.
Angriperne brukte CVE-2025-31324 til å levere en nyttelast i andre trinn, en ELF-binærfil som viste seg å være Auto-Color-bakdøren. Etter utplassering demonstrerte skadevaren en dyp forståelse av Linux-systemer og utførte handlinger med målt presisjon, noe som minimerte fotavtrykket for å unngå tidlig oppdagelse.
En vekker for bedriftssikkerhet
Denne hendelsen understreker viktigheten av rettidig oppdatering og kontinuerlig overvåking av kritisk infrastruktur. Sofistikert skadelig programvare som Auto-Color, kombinert med sårbarheter i bedriftsplattformer som SAP NetWeaver, representerer en betydelig risiko for organisasjoner på tvers av sektorer. IT-team må prioritere sårbarhetshåndtering og være forberedt på å oppdage og reagere på skjulte, vedvarende trusler.
