В апреле 2025 года хакеры успешно атаковали американскую химическую компанию, использовав критическую уязвимость в SAP NetWeaver для проникновения в её системы на базе Linux. Основной целью злоумышленников была установка скрытного бэкдора, известного как вредоносное ПО Auto-Color, функционирующего как троян удаленного доступа (RAT). Инцидент был зафиксирован и проанализирован фирмой по кибербезопасности Darktrace.
Сигналы о подозрительной активности появились как минимум за три дня до основной тревоги. 28 апреля 2025 года Darktrace обнаружила прямую загрузку вредоносного ПО на скомпрометированное устройство. Анализ показал, что злоумышленники находились в сети компании в течение трех дней, за которые они получили доступ к инфраструктуре, пытались загрузить несколько вредоносных файлов и установили связь со своей командно-контрольной (C2) инфраструктурой.
Точкой входа для атаки послужила уязвимость CVE-2025-31324 в платформе SAP NetWeaver. Эта брешь, классифицированная как критическая, позволяет выполнять неаутентифицированную загрузку файлов, что в конечном итоге открывает возможность для удаленного выполнения кода (RCE). Несмотря на то что компания SAP выпустила исправление для этой уязвимости в том же апреле, злоумышленники смогли найти и проэксплуатировать непропатченную систему.
Используя CVE-2025-31324, хакеры скомпрометировали устройство, имевшее выход в интернет, и развернули вторую стадию атаки. В ходе нее на машину был загружен основной вредоносный компонент — исполняемый ELF-файл, предназначенный для операционных систем Linux. Этот файл и являлся бэкдором Auto-Color.
Вредоносная программа Auto-Color представляет собой сложный троян удаленного доступа, специально разработанный для компрометации хостов под управлением Linux. Его ключевая особенность — повышенная скрытность. Программа демонстрирует то, что аналитики называют «расчетливой сдержанностью», чтобы минимизировать риск обнаружения и оставаться в системе как можно дольше.
Одной из главных техник уклонения от обнаружения является проверка доступности командного сервера. Если Auto-Color не может установить соединение со своей C2-инфраструктурой, он не проявляет никакой вредоносной активности и выглядит как безобидное приложение. Это значительно усложняет его анализ в изолированных средах («песочницах»).
Функционал бэкдора предоставляет злоумышленникам полный контроль над зараженной системой. Среди его возможностей — запуск обратной оболочки (reverse shell), создание и выполнение файлов, настройка системного прокси-сервера для перенаправления трафика, сбор информации о системе (профилирование), а также механизм самоуничтожения по команде оператора (kill switch).
Данный инцидент не является первым случаем использования Auto-Color. Вредоносная программа была впервые задокументирована специалистами из Palo Alto Networks Unit 42 в феврале 2025 года. Исследователи отследили ее активность до более раннего периода.
Первые зафиксированные атаки с применением Auto-Color произошли в ноябре-декабре 2024 года. Тогда целями злоумышленников стали университеты и правительственные организации в Северной Америке и Азии. Отчет о апрельской атаке на химическую компанию был передан фирмой Darktrace изданию The Hacker News.
Изображение носит иллюстративный характер
Сигналы о подозрительной активности появились как минимум за три дня до основной тревоги. 28 апреля 2025 года Darktrace обнаружила прямую загрузку вредоносного ПО на скомпрометированное устройство. Анализ показал, что злоумышленники находились в сети компании в течение трех дней, за которые они получили доступ к инфраструктуре, пытались загрузить несколько вредоносных файлов и установили связь со своей командно-контрольной (C2) инфраструктурой.
Точкой входа для атаки послужила уязвимость CVE-2025-31324 в платформе SAP NetWeaver. Эта брешь, классифицированная как критическая, позволяет выполнять неаутентифицированную загрузку файлов, что в конечном итоге открывает возможность для удаленного выполнения кода (RCE). Несмотря на то что компания SAP выпустила исправление для этой уязвимости в том же апреле, злоумышленники смогли найти и проэксплуатировать непропатченную систему.
Используя CVE-2025-31324, хакеры скомпрометировали устройство, имевшее выход в интернет, и развернули вторую стадию атаки. В ходе нее на машину был загружен основной вредоносный компонент — исполняемый ELF-файл, предназначенный для операционных систем Linux. Этот файл и являлся бэкдором Auto-Color.
Вредоносная программа Auto-Color представляет собой сложный троян удаленного доступа, специально разработанный для компрометации хостов под управлением Linux. Его ключевая особенность — повышенная скрытность. Программа демонстрирует то, что аналитики называют «расчетливой сдержанностью», чтобы минимизировать риск обнаружения и оставаться в системе как можно дольше.
Одной из главных техник уклонения от обнаружения является проверка доступности командного сервера. Если Auto-Color не может установить соединение со своей C2-инфраструктурой, он не проявляет никакой вредоносной активности и выглядит как безобидное приложение. Это значительно усложняет его анализ в изолированных средах («песочницах»).
Функционал бэкдора предоставляет злоумышленникам полный контроль над зараженной системой. Среди его возможностей — запуск обратной оболочки (reverse shell), создание и выполнение файлов, настройка системного прокси-сервера для перенаправления трафика, сбор информации о системе (профилирование), а также механизм самоуничтожения по команде оператора (kill switch).
Данный инцидент не является первым случаем использования Auto-Color. Вредоносная программа была впервые задокументирована специалистами из Palo Alto Networks Unit 42 в феврале 2025 года. Исследователи отследили ее активность до более раннего периода.
Первые зафиксированные атаки с применением Auto-Color произошли в ноябре-декабре 2024 года. Тогда целями злоумышленников стали университеты и правительственные организации в Северной Америке и Азии. Отчет о апрельской атаке на химическую компанию был передан фирмой Darktrace изданию The Hacker News.
