Auto-Color Backdoor
Em uma sofisticada campanha de ataque cibernético contra uma empresa química sediada nos EUA em abril de 2025, cibercriminosos exploraram uma vulnerabilidade crítica no SAP NetWeaver, agora corrigida, para implantar o backdoor Auto-Color. O incidente destaca os riscos contínuos representados por sistemas sem patches e ameaças avançadas de malware direcionadas a alvos de alto valor.
Índice
Explorando CVE-2025-31324: Um portal para execução remota de código
No cerne do ataque está a CVE-2025-31324, uma vulnerabilidade crítica de upload de arquivos não autenticados no SAP NetWeaver. Essa falha permite a execução remota de código (RCE) e foi corrigida pela SAP em abril de 2025. Apesar da correção, os agentes da ameaça aproveitaram sistemas sem patches para comprometer um dispositivo exposto publicamente. O ataque durou três dias e incluiu downloads de arquivos maliciosos e comunicação com a infraestrutura vinculada ao malware Auto-Color.
Auto-Color: Uma porta dos fundos furtiva e sofisticada
Analisado pela primeira vez em fevereiro de 2025, o Auto-Color funciona de forma semelhante a um trojan de acesso remoto (RAT) projetado para infectar ambientes Linux. Ele já foi visto em ataques direcionados a universidades e entidades governamentais na América do Norte e na Ásia entre novembro e dezembro de 2024.
Uma das características mais reveladoras do Auto-Color é sua capacidade de ocultar seu comportamento malicioso quando não consegue acessar seu servidor de Comando e Controle (C2). Essa característica sugere um alto grau de segurança operacional e a intenção de evitar a detecção durante a resposta a incidentes ou análises de sandbox.
Principais recursos do Auto-Color
O Auto-Color oferece um conjunto abrangente de recursos maliciosos projetados para fornecer controle profundo sobre sistemas comprometidos. Entre eles estão:
- Capacidades de shell reverso
- Criação e execução de arquivos
- Configuração de proxy do sistema
- Modificação global da carga útil
- Criação de perfil do sistema
- Autoexclusão via kill switch
Esses recursos permitem que os invasores não apenas mantenham o acesso persistente, mas também se adaptem dinamicamente e apaguem evidências quando necessário.
Cronologia do ataque: uma infiltração calculada
Especialistas em segurança identificaram a intrusão em 28 de abril, quando um binário ELF suspeito foi detectado em um servidor de internet, provavelmente executando SAP NetWeaver. No entanto, os primeiros sinais de reconhecimento e varredura teriam começado pelo menos três dias antes, indicando um planejamento cuidadoso.
Os invasores utilizaram o CVE-2025-31324 para implantar um payload de segundo estágio, um binário ELF que se revelou ser o backdoor do Auto-Color. Uma vez implantado, o malware demonstrou profundo conhecimento dos sistemas Linux e executou ações com precisão calculada, minimizando seu impacto para evitar detecção precoce.
Um alerta para a segurança empresarial
Este incidente ressalta a importância da aplicação oportuna de patches e do monitoramento contínuo da infraestrutura crítica. Malwares sofisticados como o Auto-Color, somados a vulnerabilidades em plataformas corporativas como o SAP NetWeaver, representam um risco significativo para organizações de todos os setores. As equipes de TI devem priorizar o gerenciamento de vulnerabilidades e estar preparadas para detectar e responder a ameaças furtivas e persistentes.
