Auto-Color Backdoor
Në një fushatë të sofistikuar sulmi kibernetik që synonte një kompani kimike me seli në SHBA në prill 2025, aktorët kërcënues shfrytëzuan një dobësi kritike në SAP NetWeaver, e cila tani është e patch-uar, për të vendosur derën e pasme Auto-Color. Incidenti nxjerr në pah rreziqet e vazhdueshme që paraqesin sistemet e papatch-uara dhe kërcënimet e avancuara nga malware që synojnë objektiva me vlerë të lartë.
Tabela e Përmbajtjes
Shfrytëzimi i CVE-2025-31324: Një Portë për Ekzekutimin e Kodit në Distancë
Në thelb të sulmit është CVE-2025-31324, një dobësi kritike e ngarkimit të skedarëve të paautorizuar në SAP NetWeaver. Ky defekt lejon ekzekutimin e kodit në distancë (RCE) dhe u përditësua nga SAP në prill 2025. Pavarësisht rregullimit, aktorët kërcënues shfrytëzuan sistemet e papërditësuara për të kompromentuar një pajisje të ekspozuar publikisht. Sulmi u zhvillua gjatë tre ditëve dhe përfshinte shkarkime skedarësh keqdashës dhe komunikim me infrastrukturën e lidhur me malware-in Auto-Color.
Auto-Ngjyrosje: Një derë e fshehtë dhe e sofistikuar
I analizuar për herë të parë në shkurt 2025, Auto-Color funksionon në mënyrë të ngjashme me një trojan me akses në distancë (RAT) të projektuar për të infektuar mjediset Linux. Më parë është parë në sulme që synojnë universitetet dhe entitetet qeveritare në të gjithë Amerikën e Veriut dhe Azinë midis nëntorit dhe dhjetorit 2024.
Një nga karakteristikat më domethënëse të Auto-Color është aftësia e tij për të fshehur sjelljen e tij keqdashëse kur nuk mund të arrijë serverin e tij Command-and-Control (C2). Kjo veçori sugjeron një shkallë të lartë sigurie operacionale dhe një qëllim për të shmangur zbulimin gjatë reagimit ndaj incidenteve ose analizës sandbox.
Aftësitë kryesore të ngjyrosjes automatike
Auto-Color ofron një gamë të plotë funksionesh keqdashëse të dizajnuara për të siguruar kontroll të thellë mbi sistemet e kompromentuara. Këto përfshijnë:
- Aftësitë e shell-it të kundërt
- Krijimi dhe ekzekutimi i skedarëve
- Konfigurimi i proxy-t të sistemit
- Modifikimi global i ngarkesës
- Profilizimi i sistemit
- Vetë-fshirje nëpërmjet çelësit të fikjes
Këto karakteristika u lejojnë sulmuesve jo vetëm të ruajnë akses të vazhdueshëm, por edhe të përshtaten në mënyrë dinamike dhe të fshijnë provat kur është e nevojshme.
Kronologjia e Sulmit: Një Infiltrim i Kalkuluar
Ekspertët e sigurisë e identifikuan ndërhyrjen më 28 prill, kur një skedar binar i dyshimtë ELF u zbulua në një server të lidhur me internetin që me shumë mundësi përdorte SAP NetWeaver. Megjithatë, shenjat fillestare të zbulimit dhe skanimit thuhet se filluan të paktën tre ditë më parë, duke treguar një planifikim të kujdesshëm.
Sulmuesit përdorën CVE-2025-31324 për të ofruar një ngarkesë të fazës së dytë, një skedar binar ELF që rezultoi të ishte dera e pasme Auto-Color. Pasi u vendos, malware tregoi një kuptim të thellë të sistemeve Linux dhe ekzekutoi veprime me saktësi të matur, duke minimizuar gjurmën e tij për të shmangur zbulimin e hershëm.
Një thirrje zgjimi për sigurinë e ndërmarrjeve
Ky incident nënvizon rëndësinë e azhurnimit në kohë dhe monitorimit të vazhdueshëm të infrastrukturës kritike. Malware-ët e sofistikuar si Auto-Color, të shoqëruar me dobësitë në platformat e ndërmarrjeve si SAP NetWeaver, paraqesin një rrezik të konsiderueshëm për organizatat në të gjithë sektorët. Ekipet e IT-së duhet t'i japin përparësi menaxhimit të dobësive dhe të jenë të përgatitura për të zbuluar dhe për t'iu përgjigjur kërcënimeve të fshehta dhe të vazhdueshme.
