Auto-Color Backdoor
В ходе сложной кибератаки на американскую химическую компанию в апреле 2025 года злоумышленники использовали уже исправленную критическую уязвимость в SAP NetWeaver для внедрения бэкдора Auto-Color. Этот инцидент подчеркивает сохраняющиеся риски, связанные с неустановленными системами и сложными вредоносными программами, нацеленными на особо важные цели.
Оглавление
Эксплуатация CVE-2025-31324: путь к удаленному выполнению кода
В основе атаки лежит уязвимость CVE-2025-31324, критическая уязвимость загрузки файлов без аутентификации в SAP NetWeaver. Эта уязвимость допускает удалённое выполнение кода (RCE) и была исправлена SAP в апреле 2025 года. Несмотря на исправление, злоумышленники воспользовались незащищёнными системами для взлома публично доступного устройства. Атака продолжалась три дня и включала загрузку вредоносных файлов и взаимодействие с инфраструктурой, связанной с вредоносным ПО Auto-Color.
Auto-Color: скрытый и сложный бэкдор
Auto-Color, впервые проанализированный в феврале 2025 года, функционирует аналогично трояну удалённого доступа (RAT), предназначенному для заражения Linux-сред. Ранее он был замечен в атаках на университеты и государственные учреждения в Северной Америке и Азии в период с ноября по декабрь 2024 года.
Одной из наиболее характерных особенностей Auto-Color является его способность скрывать вредоносное поведение, когда он не может связаться со своим командно-контрольным сервером (C2). Эта особенность предполагает высокий уровень операционной безопасности и намерение избежать обнаружения при реагировании на инциденты или анализе в «песочнице».
Основные возможности Auto-Color
Auto-Color предлагает комплексный набор вредоносных функций, обеспечивающих глубокий контроль над скомпрометированными системами. В их число входят:
- Возможности обратной оболочки
- Создание и выполнение файла
- Конфигурация системного прокси
- Глобальная модификация полезной нагрузки
- Профилирование системы
- Самоудаление с помощью аварийного выключателя
Эти функции позволяют злоумышленникам не только сохранять постоянный доступ, но и динамически адаптироваться и удалять улики при необходимости.
Хронология атаки: расчетливое проникновение
Эксперты по безопасности выявили взлом 28 апреля, когда на подключенном к интернету сервере, вероятно, работающем под управлением SAP NetWeaver, был обнаружен подозрительный двоичный файл ELF. Однако, как сообщается, первые признаки разведки и сканирования появились как минимум за три дня до этого, что указывает на тщательное планирование.
Злоумышленники использовали уязвимость CVE-2025-31324 для доставки полезной нагрузки второго этапа — двоичного файла ELF, который оказался бэкдором Auto-Color. После внедрения вредоносная программа продемонстрировала глубокое понимание систем Linux и выполняла действия с высокой точностью, минимизируя свой след и избегая раннего обнаружения.
Тревожный звонок для корпоративной безопасности
Этот инцидент подчеркивает важность своевременного обновления и постоянного мониторинга критически важной инфраструктуры. Сложное вредоносное ПО, такое как Auto-Color, в сочетании с уязвимостями корпоративных платформ, таких как SAP NetWeaver, представляет значительный риск для организаций всех секторов. ИТ-отделы должны уделять первостепенное внимание управлению уязвимостями и быть готовыми к обнаружению и реагированию на скрытые, устойчивые угрозы.
