Auto-Color Backdoor
Nisan 2025'te ABD merkezli bir kimya şirketini hedef alan karmaşık bir siber saldırı kampanyasında, tehdit aktörleri SAP NetWeaver'daki artık yamalanmış kritik bir güvenlik açığını istismar ederek Otomatik Renk arka kapısını devreye soktu. Bu olay, yamalanmamış sistemlerin ve yüksek değerli hedefleri hedef alan gelişmiş kötü amaçlı yazılım tehditlerinin oluşturduğu sürekli riskleri gözler önüne seriyor.
İçindekiler
CVE-2025-31324’ü Kullanma: Uzaktan Kod Çalıştırmaya Bir Geçit
Saldırının merkezinde, SAP NetWeaver'da kritik bir kimlik doğrulaması yapılmamış dosya yükleme güvenlik açığı olan CVE-2025-31324 yer alıyor. Bu güvenlik açığı, uzaktan kod yürütmeye (RCE) olanak tanıyor ve SAP tarafından Nisan 2025'te yamalandı. Düzeltmeye rağmen, tehdit aktörleri yama uygulanmamış sistemlerden yararlanarak herkese açık bir cihazı tehlikeye attı. Saldırı üç gün boyunca devam etti ve kötü amaçlı dosya indirmeleri ile Auto-Color kötü amaçlı yazılımına bağlı altyapıyla iletişimi içeriyordu.
Otomatik Renk: Gizli ve Sofistike Bir Arka Kapı
İlk olarak Şubat 2025'te analiz edilen Auto-Color, Linux ortamlarına bulaşmak üzere tasarlanmış bir uzaktan erişim trojanına (RAT) benzer şekilde çalışır. Daha önce Kasım ve Aralık 2024 arasında Kuzey Amerika ve Asya'daki üniversiteleri ve devlet kurumlarını hedef alan saldırılarda görülmüştür.
Auto-Color'ın en belirgin özelliklerinden biri, Komuta ve Kontrol (C2) sunucusuna ulaşamadığında kötü amaçlı davranışlarını gizleyebilmesidir. Bu özellik, yüksek düzeyde operasyonel güvenlik ve olay müdahalesi veya deneme ortamı analizi sırasında tespit edilmekten kaçınma niyetini gösterir.
Otomatik Rengin Temel Yetenekleri
Auto-Color, tehlikeye atılmış sistemler üzerinde derinlemesine kontrol sağlamak üzere tasarlanmış kapsamlı bir kötü amaçlı özellik paketi sunar. Bunlar arasında şunlar bulunur:
- Ters kabuk yetenekleri
- Dosya oluşturma ve yürütme
- Sistem proxy yapılandırması
- Küresel yük değişikliği
- Sistem profillemesi
- Kill switch ile kendi kendini silme
Bu özellikler saldırganların yalnızca kalıcı erişimi sürdürmelerine değil, aynı zamanda dinamik olarak adapte olmalarına ve gerektiğinde kanıtları silmelerine de olanak tanır.
Saldırının Zaman Çizelgesi: Hesaplanmış Bir Sızma
Güvenlik uzmanları, 28 Nisan'da, muhtemelen SAP NetWeaver çalıştıran internete bağlı bir sunucuda şüpheli bir ELF ikili dosyası tespit edildiğinde, saldırıyı tespit etti. Ancak, keşif ve taramanın ilk belirtilerinin en az üç gün önce başladığı ve dikkatli bir planlamanın göstergesi olduğu bildirildi.
Saldırganlar, ikinci aşama bir yük olan ve Auto-Color arka kapısı olduğu ortaya çıkan bir ELF ikili dosyası olan CVE-2025-31324'ü kullandılar. Kötü amaçlı yazılım, dağıtıldıktan sonra Linux sistemlerine dair derin bir anlayış sergiledi ve eylemleri ölçülü bir hassasiyetle gerçekleştirerek erken tespitten kaçınmak için kapladığı alanı en aza indirdi.
Kurumsal Güvenlik İçin Bir Uyarı
Bu olay, kritik altyapıların zamanında yamalanması ve sürekli izlenmesinin önemini vurguluyor. Auto-Color gibi gelişmiş kötü amaçlı yazılımlar, SAP NetWeaver gibi kurumsal platformlardaki güvenlik açıklarıyla bir araya geldiğinde, farklı sektörlerdeki kuruluşlar için önemli bir risk oluşturuyor. BT ekipleri, güvenlik açığı yönetimine öncelik vermeli ve gizli, kalıcı tehditleri tespit edip bunlara müdahale etmeye hazır olmalıdır.
