Auto-Color Backdoor
V sofistikovanej kybernetickej útočnej kampani zameranej na americkú chemickú spoločnosť v apríli 2025 útočníci zneužili teraz už opravenú kritickú zraniteľnosť v SAP NetWeaver na nasadenie zadných vrátok Auto-Color. Incident poukazuje na pretrvávajúce riziká, ktoré predstavujú neopravené systémy a pokročilé hrozby malvéru zamerané na ciele s vysokou hodnotou.
Obsah
Využitie CVE-2025-31324: Brána k vzdialenému spusteniu kódu
Jadrom útoku je CVE-2025-31324, kritická zraniteľnosť v SAP NetWeaver, ktorá umožňuje vzdialené spustenie kódu (RCE) a spoločnosť SAP ju opravila v apríli 2025. Napriek oprave útočníci využili neopravené systémy na napadnutie verejne vystaveného zariadenia. Útok trval tri dni a zahŕňal sťahovanie škodlivých súborov a komunikáciu s infraštruktúrou prepojenou so škodlivým softvérom Auto-Color.
Auto-Color: Nenápadné a sofistikované zadné vrátka
Auto-Color, ktorý bol prvýkrát analyzovaný vo februári 2025, funguje podobne ako trójsky kôň pre vzdialený prístup (RAT) určený na infikovanie linuxových prostredí. V minulosti bol pozorovaný pri útokoch zameraných na univerzity a vládne subjekty v Severnej Amerike a Ázii medzi novembrom a decembrom 2024.
Jednou z najvýznamnejších charakteristík Auto-Color je jeho schopnosť skryť svoje škodlivé správanie, keď sa nemôže dostať k svojmu serveru Command-and-Control (C2). Táto funkcia naznačuje vysoký stupeň prevádzkovej bezpečnosti a zámer vyhnúť sa odhaleniu počas reakcie na incidenty alebo analýzy v sandboxe.
Kľúčové funkcie automatického zafarbenia
Auto-Color ponúka komplexnú sadu škodlivých funkcií navrhnutých tak, aby poskytovali hlbokú kontrolu nad napadnutými systémami. Patria sem:
- Možnosti reverznej škrupiny
- Vytvorenie a spustenie súboru
- Konfigurácia systémového proxy servera
- Globálna úprava užitočného materiálu
- Profilovanie systému
- Samovymazanie pomocou funkcie kill switch
Tieto funkcie umožňujú útočníkom nielen udržiavať trvalý prístup, ale aj dynamicky sa prispôsobovať a v prípade potreby vymazávať dôkazy.
Časová os útoku: Vypočítaná infiltrácia
Bezpečnostní experti identifikovali narušenie 28. apríla, keď na serveri s pripojením na internet, na ktorom pravdepodobne beží systém SAP NetWeaver, zistili podozrivý binárny súbor ELF. Počiatočné známky prieskumu a skenovania sa však údajne začali objavovať najmenej tri dni predtým, čo naznačuje starostlivé plánovanie.
Útočníci využili CVE-2025-31324 na doručenie druhej fázy užitočného zaťaženia, binárneho súboru ELF, ktorý sa ukázal byť zadnými vrátkami Auto-Color. Po nasadení malvér preukázal hlboké pochopenie systémov Linux a vykonával akcie s premeranou presnosťou, čím minimalizoval svoju stopu, aby sa vyhol včasnému odhaleniu.
Budíček pre podnikovú bezpečnosť
Tento incident zdôrazňuje dôležitosť včasného opráv a neustáleho monitorovania kritickej infraštruktúry. Sofistikovaný malvér, ako napríklad Auto-Color, v spojení so zraniteľnosťami v podnikových platformách, ako je SAP NetWeaver, predstavuje významné riziko pre organizácie naprieč sektormi. IT tímy musia uprednostniť riadenie zraniteľností a byť pripravené odhaľovať a reagovať na nenápadné a pretrvávajúce hrozby.
