Auto-Color Backdoor
I en sofistikerad cyberattackkampanj riktad mot ett USA-baserat kemikalieföretag i april 2025 utnyttjade hotaktörer en nu uppdaterad kritisk sårbarhet i SAP NetWeaver för att driftsätta bakdörren Auto-Color. Händelsen belyser de fortsatta riskerna med ouppdaterade system och avancerade hot från skadlig kod riktade mot värdefulla mål.
Innehållsförteckning
Utnyttjande av CVE-2025-31324: En port till fjärrkörning av kod
Kärnan i attacken är CVE-2025-31324, en kritisk sårbarhet för oautentiserad filuppladdning i SAP NetWeaver. Denna brist möjliggör fjärrkodkörning (RCE) och åtgärdades av SAP i april 2025. Trots åtgärden utnyttjade hotaktörer ouppdaterade system för att kompromettera en offentligt exponerad enhet. Attacken pågick under tre dagar och inkluderade skadliga filnedladdningar och kommunikation med infrastruktur kopplad till Auto-Color-skadlig programvara.
Auto-Color: En smygande och sofistikerad bakdörr
Auto-Color analyserades först i februari 2025 och fungerar på liknande sätt som en fjärråtkomsttrojan (RAT) utformad för att infektera Linux-miljöer. Den har tidigare observerats i attacker riktade mot universitet och myndigheter i Nordamerika och Asien mellan november och december 2024.
En av de mest uttalande egenskaperna hos Auto-Color är dess förmåga att dölja sitt skadliga beteende när den inte kan nå sin Command-and-Control (C2)-server. Denna funktion antyder en hög grad av driftssäkerhet och en avsikt att undvika upptäckt under incidentrespons eller sandlådeanalys.
Viktiga funktioner för automatisk färgläggning
Auto-Color erbjuder en omfattande uppsättning skadliga funktioner utformade för att ge djupgående kontroll över komprometterade system. Dessa inkluderar:
- Omvända skalfunktioner
- Skapande och körning av filer
- Konfiguration av systemproxy
- Global modifiering av nyttolast
- Systemprofilering
- Självradering via kill switch
Dessa funktioner gör det möjligt för angripare inte bara att upprätthålla permanent åtkomst utan också att anpassa sig dynamiskt och radera bevis vid behov.
Tidslinje för attacken: En beräknad infiltration
Säkerhetsexperter identifierade intrånget den 28 april, då en misstänkt ELF-binärfil upptäcktes på en internetbaserad server som troligen körde SAP NetWeaver. De första tecknen på rekognoscering och skanning ska dock ha börjat minst tre dagar tidigare, vilket tyder på noggrann planering.
Angriparna använde CVE-2025-31324 för att leverera en andrastegsnyttolast, en ELF-binärfil som visade sig vara Auto-Color-bakdörren. När den väl var installerad visade den skadliga programvaran en djup förståelse för Linux-system och utförde åtgärder med uppmätt precision, vilket minimerade dess fotavtryck för att undvika tidig upptäckt.
En väckarklocka för företagssäkerhet
Denna incident understryker vikten av snabba patchar och kontinuerlig övervakning av kritisk infrastruktur. Sofistikerad skadlig kod som Auto-Color, i kombination med sårbarheter i företagsplattformar som SAP NetWeaver, utgör en betydande risk för organisationer inom olika sektorer. IT-team måste prioritera sårbarhetshantering och vara beredda att upptäcka och reagera på smygande, ihållande hot.
