Auto-Color Backdoor
Trong một chiến dịch tấn công mạng tinh vi nhắm vào một công ty hóa chất có trụ sở tại Hoa Kỳ vào tháng 4 năm 2025, các tác nhân đe dọa đã khai thác một lỗ hổng nghiêm trọng hiện đã được vá trong SAP NetWeaver để triển khai cửa hậu Auto-Color. Sự cố này làm nổi bật những rủi ro liên tục do các hệ thống chưa được vá và các mối đe dọa phần mềm độc hại tiên tiến nhắm vào các mục tiêu có giá trị cao gây ra.
Mục lục
Khai thác CVE-2025-31324: Cổng vào thực thi mã từ xa
Cốt lõi của cuộc tấn công là CVE-2025-31324, một lỗ hổng nghiêm trọng cho phép tải lên tệp không xác thực trong SAP NetWeaver. Lỗ hổng này cho phép thực thi mã từ xa (RCE) và đã được SAP vá vào tháng 4 năm 2025. Bất chấp bản vá, kẻ tấn công vẫn lợi dụng các hệ thống chưa được vá để xâm nhập vào một thiết bị công khai. Cuộc tấn công kéo dài ba ngày, bao gồm việc tải xuống tệp độc hại và giao tiếp với cơ sở hạ tầng được liên kết với phần mềm độc hại Auto-Color.
Tự động tô màu: Một cửa sau bí mật và tinh vi
Được phân tích lần đầu vào tháng 2 năm 2025, Auto-Color hoạt động tương tự như một trojan truy cập từ xa (RAT) được thiết kế để lây nhiễm môi trường Linux. Trước đó, nó đã được phát hiện trong các cuộc tấn công nhắm vào các trường đại học và cơ quan chính phủ trên khắp Bắc Mỹ và Châu Á từ tháng 11 đến tháng 12 năm 2024.
Một trong những đặc điểm nổi bật nhất của Auto-Color là khả năng che giấu hành vi độc hại khi không thể tiếp cận máy chủ Command-and-Control (C2). Tính năng này cho thấy mức độ bảo mật vận hành cao và ý định tránh bị phát hiện trong quá trình ứng phó sự cố hoặc phân tích sandbox.
Các khả năng chính của Auto-Color
Auto-Color cung cấp một bộ tính năng độc hại toàn diện được thiết kế để kiểm soát sâu các hệ thống bị xâm phạm. Các tính năng này bao gồm:
- Khả năng đảo ngược vỏ
- Tạo và thực thi tập tin
- Cấu hình proxy hệ thống
- Sửa đổi tải trọng toàn cầu
- Hồ sơ hệ thống
- Tự xóa thông qua công tắc tắt
Những tính năng này không chỉ cho phép kẻ tấn công duy trì quyền truy cập liên tục mà còn có thể thích ứng linh hoạt và xóa bằng chứng khi cần thiết.
Dòng thời gian của cuộc tấn công: Một cuộc xâm nhập được tính toán
Các chuyên gia bảo mật đã phát hiện ra vụ xâm nhập vào ngày 28 tháng 4, khi một tệp nhị phân ELF đáng ngờ được phát hiện trên một máy chủ kết nối internet, có khả năng đang chạy SAP NetWeaver. Tuy nhiên, các dấu hiệu ban đầu của hoạt động do thám và quét được cho là đã bắt đầu ít nhất ba ngày trước đó, cho thấy vụ việc đã được lên kế hoạch cẩn thận.
Kẻ tấn công đã sử dụng CVE-2025-31324 để phát tán payload giai đoạn hai, một tệp nhị phân ELF, hóa ra là backdoor Auto-Color. Sau khi được triển khai, phần mềm độc hại đã thể hiện khả năng hiểu sâu về hệ thống Linux và thực hiện các hành động với độ chính xác cao, giảm thiểu dấu vết để tránh bị phát hiện sớm.
Lời cảnh tỉnh cho vấn đề bảo mật doanh nghiệp
Sự cố này nhấn mạnh tầm quan trọng của việc vá lỗi kịp thời và giám sát liên tục cơ sở hạ tầng quan trọng. Các phần mềm độc hại tinh vi như Auto-Color, cùng với các lỗ hổng trong các nền tảng doanh nghiệp như SAP NetWeaver, gây ra rủi ro đáng kể cho các tổ chức thuộc nhiều lĩnh vực. Các nhóm CNTT phải ưu tiên quản lý lỗ hổng và sẵn sàng phát hiện và ứng phó với các mối đe dọa tiềm ẩn, dai dẳng.
