Auto-Color Backdoor
Într-o campanie sofisticată de atacuri cibernetice care a vizat o companie chimică din SUA în aprilie 2025, hackerii au exploatat o vulnerabilitate critică din SAP NetWeaver, acum cu patch-uri aplicate, pentru a implementa backdoor-ul Auto-Color. Incidentul evidențiază riscurile continue reprezentate de sistemele nepachetate și de amenințările malware avansate care vizează ținte de mare valoare.
Cuprins
Exploatarea CVE-2025-31324: O poartă de acces către execuția de cod la distanță
În centrul atacului se află CVE-2025-31324, o vulnerabilitate critică de încărcare a fișierelor neautentificate în SAP NetWeaver. Această defecțiune permite executarea de cod la distanță (RCE) și a fost corectată de SAP în aprilie 2025. În ciuda remedierii, actorii amenințători au profitat de sistemele necorectate pentru a compromite un dispozitiv expus publicului. Atacul s-a desfășurat pe parcursul a trei zile și a inclus descărcări de fișiere rău intenționate și comunicare cu infrastructura legată de malware-ul Auto-Color.
Auto-Color: O ușă din spate discretă și sofisticată
Analizat pentru prima dată în februarie 2025, Auto-Color funcționează similar cu un troian de acces la distanță (RAT) conceput pentru a infecta mediile Linux. Anterior, a fost observat în atacuri care au vizat universități și entități guvernamentale din America de Nord și Asia între noiembrie și decembrie 2024.
Una dintre cele mai semnificative caracteristici ale Auto-Color este capacitatea sa de a-și ascunde comportamentul rău intenționat atunci când nu poate ajunge la serverul său de comandă și control (C2). Această caracteristică sugerează un grad ridicat de securitate operațională și intenția de a evita detectarea în timpul răspunsului la incidente sau al analizei sandbox.
Funcții cheie ale funcției Auto-Color
Auto-Color oferă o suită completă de funcții malware concepute pentru a oferi un control profund asupra sistemelor compromise. Acestea includ:
- Capacități de shell inversat
- Crearea și executarea fișierelor
- Configurarea proxy-ului de sistem
- Modificarea globală a sarcinii utile
- Profilarea sistemului
- Autoștergere prin kill switch
Aceste caracteristici permit atacatorilor nu doar să mențină acces persistent, ci și să se adapteze dinamic și să șteargă dovezile atunci când este necesar.
Cronologia atacului: o infiltrare calculată
Experții în securitate au identificat intruziunea pe 28 aprilie, când un fișier binar ELF suspect a fost detectat pe un server conectat la internet care rula probabil SAP NetWeaver. Cu toate acestea, semnele inițiale de recunoaștere și scanare ar fi început cu cel puțin trei zile mai devreme, indicând o planificare atentă.
Atacatorii au utilizat CVE-2025-31324 pentru a livra o a doua utilă, un fișier binar ELF care s-a dovedit a fi backdoor-ul Auto-Color. Odată implementat, malware-ul a demonstrat o înțelegere profundă a sistemelor Linux și a executat acțiuni cu o precizie măsurată, minimizându-și amprenta pentru a evita detectarea timpurie.
Un semnal de alarmă pentru securitatea întreprinderilor
Acest incident subliniază importanța aplicării la timp a corecțiilor și a monitorizării continue a infrastructurii critice. Programele malware sofisticate precum Auto-Color, împreună cu vulnerabilitățile din platformele enterprise precum SAP NetWeaver, prezintă un risc semnificativ pentru organizațiile din toate sectoarele. Echipele IT trebuie să acorde prioritate gestionării vulnerabilităților și să fie pregătite să detecteze și să răspundă la amenințări persistente și ascunse.
