Auto-Color Backdoor
Під час складної кібератак, спрямованої на хімічну компанію США у квітні 2025 року, зловмисники використали виправлену критичну вразливість у SAP NetWeaver для розгортання бекдору Auto-Color. Цей інцидент підкреслює постійні ризики, що виникають через невиправлені системи та складні загрози з боку шкідливого програмного забезпечення, спрямовані на цінні цілі.
Зміст
Використання CVE-2025-31324: шлях до віддаленого виконання коду
В основі атаки лежить CVE-2025-31324, критична вразливість завантаження неавтентифікованих файлів у SAP NetWeaver. Ця вразливість дозволяє віддалене виконання коду (RCE) і була виправлена SAP у квітні 2025 року. Незважаючи на виправлення, зловмисники скористалися невиправленими системами, щоб скомпрометувати загальнодоступний пристрій. Атака тривала протягом трьох днів і включала завантаження шкідливих файлів та зв'язок з інфраструктурою, пов'язаною зі шкідливим програмним забезпеченням Auto-Color.
Auto-Color: прихований та витончений бекдор
Вперше проаналізований у лютому 2025 року, Auto-Color функціонує подібно до трояна віддаленого доступу (RAT), призначеного для зараження середовищ Linux. Раніше його було помічено в атаках, спрямованих на університети та урядові установи по всій Північній Америці та Азії в період з листопада по грудень 2024 року.
Однією з найхарактерніших характеристик Auto-Color є його здатність приховувати свою шкідливу поведінку, коли він не може дістатися до свого сервера командування та управління (C2). Ця функція свідчить про високий ступінь операційної безпеки та намір уникнути виявлення під час реагування на інциденти або аналізу пісочниці.
Основні можливості автоматичного вибору кольору
Auto-Color пропонує комплексний набір функцій захисту від шкідливих програм, розроблених для забезпечення глибокого контролю над скомпрометованими системами. До них належать:
- Можливості зворотної оболонки
- Створення та виконання файлів
- Конфігурація системного проксі-сервера
- Глобальна модифікація корисного навантаження
- Профілювання системи
- Самовидалення за допомогою функції автоматичного вимикання
Ці функції дозволяють зловмисникам не лише підтримувати постійний доступ, але й динамічно адаптуватися та видаляти докази за потреби.
Хронологія атаки: розраховане проникнення
Експерти з безпеки виявили вторгнення 28 квітня, коли підозрілий двійковий файл ELF було виявлено на сервері, вимкненому в Інтернет, на якому, ймовірно, було запущено SAP NetWeaver. Однак, як повідомляється, перші ознаки розвідки та сканування почалися щонайменше трьома днями раніше, що свідчить про ретельне планування.
Зловмисники використали CVE-2025-31324 для доставки корисного навантаження другого етапу – бінарного файлу ELF, який виявився бекдором Auto-Color. Після розгортання шкідливе програмне забезпечення продемонструвало глибоке розуміння систем Linux та виконувало дії з виміряною точністю, мінімізуючи свій вплив, щоб уникнути раннього виявлення.
Сигнал тривоги для корпоративної безпеки
Цей інцидент підкреслює важливість своєчасного встановлення виправлень та постійного моніторингу критичної інфраструктури. Складне шкідливе програмне забезпечення, таке як Auto-Color, у поєднанні з вразливостями в корпоративних платформах, таких як SAP NetWeaver, становить значний ризик для організацій у всіх секторах. ІТ-команди повинні пріоритезувати управління вразливостями та бути готовими виявляти та реагувати на приховані, постійні загрози.
