Auto-Color Backdoor
У софистицираној кампањи сајбер напада усмереној на хемијску компанију са седиштем у САД у априлу 2025. године, актери претњи искористили су сада већ исправљену критичну рањивост у SAP NetWeaver-у да би поставили задња врата Auto-Color. Инцидент истиче континуиране ризике које представљају неисправљени системи и напредне претње злонамерног софтвера усмерене на високо вредне циљеве.
Преглед садржаја
Искоришћавање CVE-2025-31324: Улаз у удаљено извршавање кода
У сржи напада је CVE-2025-31324, критична рањивост у вези са отпремањем неаутентификованих датотека у SAP NetWeaver-у. Ова мана омогућава даљинско извршавање кода (RCE) и SAP ју је исправио у априлу 2025. године. Упркос исправци, актери претње су искористили неисправне системе да би компромитовали јавно изложени уређај. Напад се одвијао током три дана и укључивао је преузимање злонамерних датотека и комуникацију са инфраструктуром повезаном са малвером Auto-Color.
Аутоматско бојење: Прикривена и софистицирана врата
Први пут анализиран у фебруару 2025. године, Auto-Color функционише слично тројанцу за удаљени приступ (RAT) дизајнираном да зарази Linux окружења. Претходно је виђен у нападима усмереним на универзитете и владине институције широм Северне Америке и Азије између новембра и децембра 2024. године.
Једна од најзначајнијих карактеристика Auto-Color-а је његова способност да прикрије своје злонамерно понашање када не може да досегне свој командни и контролни (C2) сервер. Ова карактеристика указује на висок степен оперативне безбедности и намеру да се избегне откривање током реаговања на инцидент или анализе „пешчаника“.
Кључне могућности аутоматског бојења
Auto-Color нуди свеобухватан пакет злонамерних функција дизајнираних да обезбеде дубинску контролу над угроженим системима. То укључује:
- Могућности обрнуте љуске
- Креирање и извршавање датотека
- Конфигурација системског проксија
- Глобална модификација корисног садржаја
- Профилисање система
- Самобрисање путем прекидача за искључивање
Ове карактеристике омогућавају нападачима не само да одржавају стални приступ већ и да се динамички прилагођавају и бришу доказе када је то потребно.
Хронологија напада: Прорачуната инфилтрација
Безбедносни стручњаци су идентификовали упад 28. априла, када је сумњиви ELF бинарни фајл откривен на серверу окренутом према интернету, вероватно под оперативним системом SAP NetWeaver. Међутим, почетни знаци извиђања и скенирања наводно су почели најмање три дана раније, што указује на пажљиво планирање.
Нападачи су користили CVE-2025-31324 да би испоручили други ниво корисног оптерећења, ELF бинарну датотеку за коју се испоставило да је Auto-Color бекдор. Једном постављен, злонамерни софтвер је показао дубоко разумевање Linux система и извршавао је акције са измереном прецизношћу, минимизирајући свој утицај како би избегао рано откривање.
Позив на буђење за безбедност предузећа
Овај инцидент наглашава важност благовременог ажурирања и континуираног праћења критичне инфраструктуре. Софистицирани злонамерни софтвер попут Auto-Color-а, заједно са рањивостима у пословним платформама попут SAP NetWeaver-а, представља значајан ризик за организације у свим секторима. ИТ тимови морају дати приоритет управљању рањивостима и бити спремни да открију и одговоре на прикривене, упорне претње.
