Auto-Color na Backdoor
Sa isang sopistikadong cyberattack campaign na nagta-target sa isang kumpanya ng kemikal na nakabase sa US noong Abril 2025, pinagsamantalahan ng mga aktor ng pagbabanta ang isang natatak na ngayon na kritikal na kahinaan sa SAP NetWeaver para i-deploy ang Auto-Color backdoor. Itinatampok ng insidente ang patuloy na mga panganib na dulot ng mga hindi na-patch na system at mga advanced na banta sa malware na naglalayong sa mga target na may mataas na halaga.
Talaan ng mga Nilalaman
Pagsasamantala sa CVE-2025-31324: Isang Gateway sa Remote Code Execution
Ang pangunahing bahagi ng pag-atake ay ang CVE-2025-31324, isang kritikal na hindi napatunayang kahinaan sa pag-upload ng file sa SAP NetWeaver. Nagbibigay-daan ang flaw na ito sa remote code execution (RCE) at na-patch ng SAP noong Abril 2025. Sa kabila ng pag-aayos, ginamit ng mga threat actor ang mga hindi na-patch na system para ikompromiso ang isang device na nalantad sa publiko. Ang pag-atake ay naganap sa loob ng tatlong araw at kasama ang mga nakakahamak na pag-download ng file at komunikasyon sa imprastraktura na naka-link sa Auto-Color malware.
Auto-Color: Isang Palihim at Sopistikadong Backdoor
Unang nasuri noong Pebrero 2025, ang Auto-Color ay gumagana nang katulad ng isang remote access trojan (RAT) na idinisenyo upang makahawa sa mga kapaligiran ng Linux. Dati na itong nakita sa mga pag-atake na nagta-target sa mga unibersidad at entity ng gobyerno sa buong North America at Asia sa pagitan ng Nobyembre at Disyembre 2024.
Isa sa mga pinaka-nagsasabing katangian ng Auto-Color ay ang kakayahang itago ang malisyosong gawi nito kapag hindi nito maabot ang Command-and-Control (C2) server nito. Ang tampok na ito ay nagmumungkahi ng mataas na antas ng seguridad sa pagpapatakbo at isang layunin na maiwasan ang pagtuklas sa panahon ng pagtugon sa insidente o pagsusuri sa sandbox.
Mga Pangunahing Kakayahan ng Auto-Color
Nag-aalok ang Auto-Color ng komprehensibong hanay ng mga nakakahamak na feature na idinisenyo upang magbigay ng malalim na kontrol sa mga nakompromisong system. Kabilang dito ang:
- Baliktarin ang mga kakayahan ng shell
- Paggawa at pagpapatupad ng file
- Configuration ng proxy ng system
- Global payload modification
- Pag-profile ng system
- Self-delete sa pamamagitan ng kill switch
Ang mga tampok na ito ay nagbibigay-daan sa mga umaatake hindi lamang na mapanatili ang patuloy na pag-access kundi pati na rin upang dynamic na umangkop at burahin ang ebidensya kung kinakailangan.
Timeline ng Pag-atake: Isang Kinalkula na Paglusot
Natukoy ng mga eksperto sa seguridad ang panghihimasok noong Abril 28, nang may nakitang kahina-hinalang ELF binary sa isang server na nakaharap sa internet na malamang na nagpapatakbo ng SAP NetWeaver. Gayunpaman, ang mga unang palatandaan ng reconnaissance at pag-scan ay naiulat na nagsimula nang hindi bababa sa tatlong araw na mas maaga, na nagpapahiwatig ng maingat na pagpaplano.
Ginamit ng mga umaatake ang CVE-2025-31324 para maghatid ng second-stage payload, isang ELF binary na naging Auto-Color backdoor. Kapag na-deploy na, nagpakita ang malware ng malalim na pag-unawa sa mga system ng Linux at nagsagawa ng mga pagkilos nang may sukat na katumpakan, na pinaliit ang footprint nito upang maiwasan ang maagang pagtuklas.
Isang Wake-Up Call para sa Enterprise Security
Binibigyang-diin ng insidenteng ito ang kahalagahan ng napapanahong pag-aayos at patuloy na pagsubaybay sa mga kritikal na imprastraktura. Ang sopistikadong malware tulad ng Auto-Color, kasama ng mga kahinaan sa mga platform ng enterprise tulad ng SAP NetWeaver, ay nagpapakita ng malaking panganib sa mga organisasyon sa iba't ibang sektor. Dapat unahin ng mga IT team ang pamamahala sa kahinaan at maging handa na tuklasin at tumugon sa mga palihim at patuloy na pagbabanta
