Primijećeno je da hakeri iskorištavaju sada već zakrpljenu kritičnu manu u SAP NetWeaveru kako bi isporučili Auto-Color backdoor u napadu usmjerenom na američku hemijsku kompaniju u aprilu 2025. godine.
„Tokom tri dana, napadač je dobio pristup mreži korisnika, pokušao preuzeti nekoliko sumnjivih datoteka i komunicirao sa zlonamjernom infrastrukturom povezanom sa malwareom Auto-Color“, navodi Darktrace u izvještaju podijeljenom za The Hacker News.
Predmetna ranjivost je CVE-2025-31324 , ozbiljna greška u SAP NetWeaveru koja omogućava udaljeno izvršavanje koda (RCE). SAP ju je ispravio u aprilu.
Auto-Color, koji je prvi put dokumentovala jedinica 42 Palo Alto Networks ranije ovog februara, funkcioniše slično trojancu za udaljeni pristup, omogućavajući udaljeni pristup kompromitovanim Linux hostovima. Primijećen je u napadima usmjerenim na univerzitete i vladine organizacije u Sjevernoj Americi i Aziji između novembra i decembra 2024. godine.
Otkriveno je da maliciozni softver skriva svoje maliciozni ponašanje ukoliko se ne uspije povezati sa svojim komandno-kontrolnim (C2) serverom, što je znak da akteri prijetnje pokušavaju izbjeći otkrivanje ostavljajući utisak da je bezopasan.
Podržava razne funkcije, uključujući obrnutu ljusku, kreiranje i izvršavanje datoteka, konfiguraciju sistemskog proxyja, globalnu manipulaciju korisnim teretom, profiliranje sistema, pa čak i samouklanjanje kada se aktivira kill switch.
Incident koji je otkrio Darktrace dogodio se 28. aprila, kada je upozoren na preuzimanje sumnjivog ELF binarnog fajla na računaru izloženom internetu na kojem je vjerovatno pokrenut SAP NetWeaver. Uprkos tome, navodi se da su se početni znaci aktivnosti skeniranja pojavili najmanje tri dana ranije.
„CVE-2025-31324 je u ovom slučaju iskorišten za pokretanje napada druge faze, koji je uključivao kompromitovanje uređaja s pristupom internetu i preuzimanje ELF datoteke koja predstavlja zlonamjerni softver Auto-Color“, saopštila je kompanija.
“Od početnog upada do neuspjelog uspostavljanja C2 komunikacije, zlonamjerni softver Auto-Color pokazao je jasno razumijevanje Linuxovih unutrašnjih funkcija i demonstrirao proračunatu suzdržanost osmišljenu da minimizira izloženost i smanji rizik od otkrivanja.”
Izvor:The Hacker News
