Auto-Color Backdoor
V prefinjeni kampanji kibernetskega napada, namenjeni ameriškemu kemikalnemu podjetju aprila 2025, so akterji izkoristili zdaj že odpravljeno kritično ranljivost v programu SAP NetWeaver za namestitev zadnjih vrat Auto-Color. Incident poudarja nadaljnja tveganja, ki jih predstavljajo nepopravljeni sistemi in napredne grožnje zlonamerne programske opreme, namenjene visokovrednim tarčam.
Kazalo
Izkoriščanje CVE-2025-31324: prehod do oddaljenega izvajanja kode
V središču napada je CVE-2025-31324, kritična ranljivost za nalaganje datotek brez preverjanja pristnosti v programu SAP NetWeaver. Ta napaka omogoča oddaljeno izvajanje kode (RCE) in jo je SAP odpravil aprila 2025. Kljub popravku so akterji napada izkoristili nepopravljene sisteme, da bi ogrozili javno izpostavljeno napravo. Napad je trajal tri dni in je vključeval prenose zlonamernih datotek ter komunikacijo z infrastrukturo, povezano z zlonamerno programsko opremo Auto-Color.
Samodejno barvanje: Prikrita in prefinjena zadnja vrata
Auto-Color, ki je bil prvič analiziran februarja 2025, deluje podobno kot trojanec za oddaljeni dostop (RAT), zasnovan za okužbo okolij Linux. Pred tem so ga opazili v napadih, usmerjenih na univerze in vladne ustanove po Severni Ameriki in Aziji med novembrom in decembrom 2024.
Ena najbolj zgovornih značilnosti Auto-Color je njegova sposobnost prikrivanja zlonamernega vedenja, ko ne more doseči svojega strežnika Command-and-Control (C2). Ta lastnost kaže na visoko stopnjo operativne varnosti in namen, da se izogne odkritju med odzivanjem na incidente ali analizo peskovnika.
Ključne zmogljivosti samodejnega barvanja
Auto-Color ponuja obsežen nabor zlonamernih funkcij, zasnovanih za zagotavljanje globokega nadzora nad ogroženimi sistemi. Te vključujejo:
- Zmogljivosti obratne lupine
- Ustvarjanje in izvajanje datotek
- Konfiguracija sistemskega proxyja
- Globalna sprememba koristnega tovora
- Profiliranje sistema
- Samodejno brisanje prek stikala za izklop
Te funkcije napadalcem omogočajo ne le ohranjanje trajnega dostopa, temveč tudi dinamično prilagajanje in brisanje dokazov, kadar je to potrebno.
Časovnica napada: Izračunana infiltracija
Varnostni strokovnjaki so vdor odkrili 28. aprila, ko so na strežniku, ki je imel dostop do interneta in je verjetno poganjal SAP NetWeaver, zaznali sumljivo binarno datoteko ELF. Vendar pa so se prvi znaki izvidovanja in skeniranja domnevno začeli vsaj tri dni prej, kar kaže na skrbno načrtovanje.
Napadalci so za dostavo druge stopnje koristnega tovora, binarne datoteke ELF, ki se je izkazala za zadnja vrata Auto-Color, uporabili CVE-2025-31324. Ko je bila zlonamerna programska oprema nameščena, je pokazala poglobljeno razumevanje sistemov Linux in izvajala dejanja z natančnostjo, s čimer je zmanjšala svoj vpliv na okolje, da bi se izognila zgodnjemu odkrivanju.
Klic prebujenja za varnost podjetij
Ta incident poudarja pomen pravočasnega nameščanja popravkov in stalnega spremljanja kritične infrastrukture. Sofisticirana zlonamerna programska oprema, kot je Auto-Color, skupaj z ranljivostmi v poslovnih platformah, kot je SAP NetWeaver, predstavlja veliko tveganje za organizacije v vseh sektorjih. IT ekipe morajo dati prednost upravljanju ranljivosti in biti pripravljene na odkrivanje in odzivanje na prikrite, vztrajne grožnje.
