Auto-Color Backdoor

ในเดือนเมษายน 2568 การโจมตีทางไซเบอร์ที่ซับซ้อนซึ่งมุ่งเป้าไปที่บริษัทเคมีภัณฑ์แห่งหนึ่งในสหรัฐอเมริกา ผู้ก่อภัยคุกคามได้ใช้ประโยชน์จากช่องโหว่สำคัญใน SAP NetWeaver ซึ่งได้รับการแก้ไขแล้ว เพื่อติดตั้งแบ็กดอร์ Auto-Color เหตุการณ์นี้เน้นย้ำถึงความเสี่ยงที่ยังคงมีอยู่จากระบบที่ไม่ได้รับการแก้ไขและภัยคุกคามจากมัลแวร์ขั้นสูงที่มุ่งเป้าไปที่เป้าหมายที่มีมูลค่าสูง

การใช้ประโยชน์จาก CVE-2025-31324: เกตเวย์สู่การรันโค้ดระยะไกล

หัวใจสำคัญของการโจมตีคือ CVE-2025-31324 ซึ่งเป็นช่องโหว่สำคัญสำหรับการอัปโหลดไฟล์โดยไม่ผ่านการตรวจสอบสิทธิ์ใน SAP NetWeaver ช่องโหว่นี้เปิดโอกาสให้สามารถรันโค้ดจากระยะไกล (RCE) ได้ และ SAP ได้แก้ไขช่องโหว่นี้ในเดือนเมษายน 2568 แม้จะมีการแก้ไขแล้ว แต่ผู้ก่อภัยคุกคามก็ยังคงใช้ประโยชน์จากระบบที่ไม่ได้รับการแก้ไขเพื่อโจมตีอุปกรณ์ที่เปิดเผยต่อสาธารณะ การโจมตีนี้ดำเนินไปเป็นเวลาสามวัน รวมถึงการดาวน์โหลดไฟล์ที่เป็นอันตรายและการสื่อสารกับโครงสร้างพื้นฐานที่เชื่อมโยงกับมัลแวร์ Auto-Color

Auto-Color: แบ็คดอร์ที่ซ่อนเร้นและซับซ้อน

Auto-Color ได้รับการวิเคราะห์ครั้งแรกในเดือนกุมภาพันธ์ 2568 โดยทำงานคล้ายกับโทรจันการเข้าถึงระยะไกล (RAT) ที่ออกแบบมาเพื่อแพร่เชื้อให้กับสภาพแวดล้อม Linux ก่อนหน้านี้พบเห็นการโจมตีที่มุ่งเป้าไปที่มหาวิทยาลัยและหน่วยงานรัฐบาลทั่วอเมริกาเหนือและเอเชียระหว่างเดือนพฤศจิกายนถึงธันวาคม 2567

หนึ่งในคุณสมบัติที่โดดเด่นที่สุดของ Auto-Color คือความสามารถในการปกปิดพฤติกรรมอันตรายเมื่อไม่สามารถเข้าถึงเซิร์ฟเวอร์ Command-and-Control (C2) ได้ คุณสมบัตินี้แสดงให้เห็นถึงความปลอดภัยในการปฏิบัติงานระดับสูง และความตั้งใจที่จะหลีกเลี่ยงการตรวจจับระหว่างการตอบสนองต่อเหตุการณ์หรือการวิเคราะห์แบบแซนด์บ็อกซ์

ความสามารถหลักของ Auto-Color

Auto-Color นำเสนอชุดฟีเจอร์อันตรายที่ครอบคลุม ออกแบบมาเพื่อควบคุมระบบที่ถูกบุกรุกอย่างล้ำลึก ซึ่งรวมถึง:

• ความสามารถของเชลล์ย้อนกลับ
• การสร้างและการดำเนินการไฟล์
• การกำหนดค่าพร็อกซีระบบ
• การปรับเปลี่ยนเพย์โหลดทั่วโลก
• การจัดทำโปรไฟล์ระบบ
• การลบข้อมูลด้วยตนเองผ่านสวิตช์ปิด

คุณลักษณะเหล่านี้ช่วยให้ผู้โจมตีไม่เพียงแต่รักษาการเข้าถึงอย่างต่อเนื่องแต่ยังสามารถปรับตัวแบบไดนามิกและลบหลักฐานเมื่อจำเป็นได้อีกด้วย

ไทม์ไลน์ของการโจมตี: การแทรกซึมที่คำนวณไว้

ผู้เชี่ยวชาญด้านความปลอดภัยระบุการบุกรุกดังกล่าวเมื่อวันที่ 28 เมษายน เมื่อตรวจพบไบนารี ELF ที่น่าสงสัยบนเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ต ซึ่งน่าจะใช้งาน SAP NetWeaver อย่างไรก็ตาม มีรายงานว่าสัญญาณเบื้องต้นของการลาดตระเวนและการสแกนเริ่มต้นขึ้นอย่างน้อยสามวันก่อนหน้านั้น ซึ่งบ่งชี้ถึงการวางแผนอย่างรอบคอบ

ผู้โจมตีใช้รหัส CVE-2025-31324 เพื่อส่งเพย์โหลดขั้นที่สอง ซึ่งเป็นไบนารี ELF ที่กลายเป็นแบ็กดอร์ Auto-Color เมื่อติดตั้งแล้ว มัลแวร์จะแสดงความเข้าใจอย่างลึกซึ้งเกี่ยวกับระบบ Linux และดำเนินการด้วยความแม่นยำที่วัดได้ โดยลดขนาดพื้นที่การโจมตีให้น้อยที่สุดเพื่อหลีกเลี่ยงการตรวจจับตั้งแต่เนิ่นๆ

การปลุกให้ตื่นเพื่อความปลอดภัยขององค์กร

เหตุการณ์นี้ตอกย้ำถึงความสำคัญของการแพตช์และการตรวจสอบโครงสร้างพื้นฐานที่สำคัญอย่างต่อเนื่องและทันท่วงที มัลแวร์ที่ซับซ้อนอย่าง Auto-Color ประกอบกับช่องโหว่ในแพลตฟอร์มองค์กรอย่าง SAP NetWeaver ก่อให้เกิดความเสี่ยงสำคัญต่อองค์กรในทุกภาคส่วน ทีมไอทีต้องให้ความสำคัญกับการจัดการช่องโหว่ และเตรียมพร้อมที่จะตรวจจับและรับมือกับภัยคุกคามที่แฝงตัวและต่อเนื่อง