Сверхскрытный бэкдор внедряется через уязвимость в SAP и нападает на системы под Linux
Исправленная еще в апреле уязвимость в SAP NetWeaver стала средством первичного проникновения операторов опасного вредоноса Auto-Color
Все цвета невидимости
Критическая уязвимость в SAP NetWeaver, отслеживаемая как CVE-2025-31324, была использована хакерами для взлома как минимум одной американской компании и установки туда вредоноса под Linux Auto-Color.
Инцидент произошел в апреле 2025 г. Эксперты компании Darktrace, расследовавшие атаку, установили, что между первичным проникновением и подгрузкой исполняемого ELF-файла вредоноса прошло два дня.
Пострадавшая компания относится к химической промышленности.

Бэкдор Auto-Color известен с февраля 2025 г. - тогда его перехватили и описали специалисты Palo Alto Networks Unit 42. Эта вредоносная программа характеризуется большой скрытностью и настырностью: ее трудно выявить и еще труднее - устранить.
Эксперты Darktrace утверждают, что с февраля вредонос обзавелся новыми функциями скрытности, что дополнительно затрудняет противодействие ей.
Бэкдор адаптирует свое поведение в соответствии с уровнем привилегий пользователя, от лица которого он запущен. Скрытность и постоянство присутствия обеспечиваются через настроечный файл /etc/ld.so.preload, в котором перечисляются динамически подключаемые библиотеки (shared library), предзагружаемые в память в первую очередь. Бэкдор инъектируется сразу в несколько таких библиотек.

Auto-Color поддерживает запуск произвольных команд, внесение изменений в файлы, развертывание обратного шелла для полного удаленного доступа, перенаправление прокси-трафика и динамическую перенастройку. В нем также выявлен rootkit-модуль, который делает вредоносную активность невидимой для защитных инструментов.
В то время как эксперты Unit 42 не смогли определить первоначальный вектор проникновения, в случае с инцидентом, который расследовали Darktrace, речь шла об эксплуатации критической уязвимости в NetWeaver. «Баг» CVE-2025-31324 связан недостатками авторизации и открывает возможность загружать и запускать произвольные исполняемые файлы без ограничений.
Время не ждет
SAP устранил уязвимость в апреле 2025 г. Почти сразу же началась ее интенсивная эксплуатация, а фирма Mandiant выявила свидетельства тому, что атаки на этот «баг» начались еще в марте.
«Киберзлоумышленники нередко используют одни и те же уязвимости в атаках на разные цели, и совершенно нельзя исключать того, что CVE-2025-31324 - единственная «отмычка» в арсенале операторов Auto-Color», - отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. «Но в любом случае, пользователям SAP стоит проверить, установлены ли нужные обновления. В противном случае, успешная атака - просто вопрос времени».
Новая версия Auto-Color, по данным Darktrace, проверяет возможность соединения с контрольным сервером, и если таковая отсутствует, вредонос приостанавливает деятельность. Эта функция также связана с обеспечением скрытности, поскольку в неактивном состоянии анализ через реверсивную разработку оказывается невозможным.