Auto-Color Backdoor
W kwietniu 2025 roku, w zaawansowanej kampanii cyberataku na amerykańską firmę chemiczną, atakujący wykorzystali załataną już krytyczną lukę w zabezpieczeniach SAP NetWeaver, aby wdrożyć backdoor Auto-Color. Incydent ten uwypukla ciągłe ryzyko związane z niezałatanymi systemami i zaawansowanym złośliwym oprogramowaniem wymierzonym w ważne cele.
Spis treści
Wykorzystanie luki CVE-2025-31324: brama umożliwiająca zdalne wykonywanie kodu
U podstaw ataku leży luka CVE-2025-31324, krytyczna luka w zabezpieczeniach SAP NetWeaver umożliwiająca przesyłanie nieuwierzytelnionych plików. Ta luka umożliwia zdalne wykonanie kodu (RCE) i została załatana przez SAP w kwietniu 2025 roku. Pomimo poprawki, atakujący wykorzystali niezałatane systemy do naruszenia bezpieczeństwa publicznie ujawnionego urządzenia. Atak trwał trzy dni i obejmował pobieranie złośliwych plików oraz komunikację z infrastrukturą powiązaną ze złośliwym oprogramowaniem Auto-Color.
Auto-Color: dyskretny i wyrafinowany backdoor
Po raz pierwszy przeanalizowany w lutym 2025 roku, Auto-Color działa podobnie do trojana zdalnego dostępu (RAT) zaprojektowanego do infekowania środowisk Linux. Wcześniej zaobserwowano go w atakach na uniwersytety i instytucje rządowe w Ameryce Północnej i Azji między listopadem a grudniem 2024 roku.
Jedną z najbardziej charakterystycznych cech Auto-Color jest jego zdolność do ukrywania złośliwego zachowania, gdy nie może połączyć się z serwerem Command-and-Control (C2). Ta funkcja sugeruje wysoki poziom bezpieczeństwa operacyjnego i intencję uniknięcia wykrycia podczas reagowania na incydenty lub analizy w środowisku testowym.
Kluczowe możliwości funkcji Auto-Color
Auto-Color oferuje kompleksowy zestaw funkcji chroniących przed złośliwym oprogramowaniem, zaprojektowanych w celu zapewnienia głębokiej kontroli nad zainfekowanymi systemami. Należą do nich:
- Możliwości odwrotnej powłoki
- Tworzenie i wykonywanie plików
- Konfiguracja serwera proxy systemu
- Globalna modyfikacja ładunku
- Profilowanie systemu
- Samoczynne usuwanie za pomocą wyłącznika awaryjnego
Funkcje te umożliwiają atakującym nie tylko zachowanie stałego dostępu, ale także dynamiczną adaptację i usuwanie dowodów, gdy zachodzi taka potrzeba.
Oś czasu ataku: zaplanowana infiltracja
Eksperci ds. bezpieczeństwa zidentyfikowali włamanie 28 kwietnia, kiedy podejrzany plik binarny ELF został wykryty na serwerze internetowym, na którym prawdopodobnie działał SAP NetWeaver. Jednak pierwsze oznaki rozpoznania i skanowania rozpoczęły się podobno co najmniej trzy dni wcześniej, co wskazuje na staranne planowanie.
Atakujący wykorzystali lukę CVE-2025-31324 do dostarczenia ładunku drugiego etapu – pliku binarnego ELF, który okazał się backdoorem Auto-Color. Po wdrożeniu złośliwe oprogramowanie wykazało dogłębną znajomość systemów Linux i wykonywało działania z ustaloną precyzją, minimalizując swój wpływ na system i unikając wczesnego wykrycia.
Sygnał ostrzegawczy dla bezpieczeństwa przedsiębiorstw
Ten incydent podkreśla wagę terminowego wdrażania poprawek i ciągłego monitorowania infrastruktury krytycznej. Zaawansowane złośliwe oprogramowanie, takie jak Auto-Color, w połączeniu z lukami w zabezpieczeniach platform korporacyjnych, takich jak SAP NetWeaver, stanowi poważne zagrożenie dla organizacji w różnych sektorach. Zespoły IT muszą priorytetowo traktować zarządzanie lukami w zabezpieczeniach i być przygotowane na wykrywanie i reagowanie na ukryte, uporczywe zagrożenia.
