29.07.2025
1 хв
563
Кіберзлочинці атакували хімічну компанію у США, скориставшись критичною уразливістю SAP NetWeaver (CVE-2025-31324). Вони доставили на сервери шкідливе ПЗ Auto-Color — потужне Linux-зловредне ПЗ із розширеними можливостями приховування й повного контролю над системою.
Фахівці з кібербезпеки Darktrace виявили атаку у квітні 2025 року. Вона почалася 25 квітня, а через два дні хакери завантажили на сервер ELF-файл — виконуваний файл Linux із шкідником Auto-Color. Цей бекдор змінює свою поведінку залежно від прав користувача, використовує ld.so.preload для прихованої присутності, а також має вбудований rootkit, що дозволяє йому обходити захист системи.
Auto-Color підтримує:
Виконання довільних команд
Модифікацію файлів
Віддалений доступ (reverse shell)
Проксі-трафік
Динамічне оновлення конфігурації
Якщо сервер управління (C2) недоступний, шкідник імітує «безневинну» поведінку, щоб уникнути аналізу.
Auto-Color уперше був описаний Unit 42 (Palo Alto Networks) у лютому 2025 року. Його тоді виявили у цілях проти університетів і держструктур у Північній Америці та Азії. Нове дослідження Darktrace довело, що цей шкідник еволюціонує: тепер він активно експлуатує SAP NetWeaver, дозволяючи неавторизованим атакуючим завантажувати шкідливі файли та виконувати код на віддалених машинах.
SAP виправила CVE-2025-31324 у квітні 2025 року. Але вже в травні до експлуатації вразливості приєдналися державні хакери Китаю та групи з програмами-вимагачами. Компанія Mandiant зафіксувала докази використання цієї дірки ще з березня.
Сучасні зловмисники не просто користуються уразливостями, а вдосконалюють свої інструменти, роблячи їх малопомітними навіть у ізольованих середовищах. Адміністраторам SAP слід терміново встановити патчі, щоб уникнути інфікування та втрати контролю над Linux-серверами.
