Специалисты компании Darktrace зафиксировали серьезный инцидент кибербезопасности: хакеры успешно использовали критическую уязвимость CVE-2025-31324 в SAP NetWeaver для развертывания Linux-малвари Auto-Color в корпоративной сети американской химической компании. Атака, обнаруженная в апреле 2025 года, демонстрирует эволюцию этого опасного вредоносного ПО и его способность адаптироваться к современным системам защиты.
Техническая характеристика угрозы Auto-Color
Вредоносное ПО Auto-Color впервые было идентифицировано исследователями Palo Alto Networks в начале 2025 года. Этот Linux-бэкдор обладает впечатляющим арсеналом технологий уклонения от обнаружения, что делает его особенно опасным для корпоративных сетей.
Ключевые особенности малвари включают использование маскировочных имен файлов, таких как «door» или «egg», которые не вызывают подозрений у администраторов системы. Программа применяет собственные алгоритмы шифрования для защиты коммуникационных каналов с командными серверами и конфигурационных данных.
Адаптивное поведение и механизмы сокрытия
Особенность Auto-Color заключается в его способности динамически корректировать поведение в зависимости от уровня привилегий пользователя. Бэкдор использует механизм ld.so.preload для скрытного сохранения данных через инъекции shared-объектов, что затрудняет его обнаружение традиционными антивирусными решениями.
Функциональные возможности вредоносной программы включают запуск реверс-шеллов, сбор системной информации, создание и модификацию файлов, выполнение произвольных программ. Кроме того, зараженная машина может использоваться в качестве прокси-сервера для дальнейших атак.
Механизм самоуничтожения и уклонения от анализа
Одной из наиболее продуманных функций Auto-Color является встроенный «рубильник» — механизм самоуничтожения, позволяющий злоумышленникам полностью удалить следы заражения с компрометированных систем. Эта возможность значительно усложняет проведение цифровой криминалистики и расследования инцидентов.
Согласно анализу Darktrace, при недоступности управляющего сервера Auto-Color переходит в пассивный режим, практически полностью останавливая вредоносную активность. Такое поведение создает ложное впечатление безвредности программы и серьезно затрудняет процесс анализа для специалистов по информационной безопасности.
Эксплуатация уязвимости SAP NetWeaver
Критическая уязвимость CVE-2025-31324 в SAP NetWeaver позволяет злоумышленникам загружать и выполнять произвольный код без необходимости аутентификации. Это делает ее особенно привлекательной для киберпреступников, поскольку не требует предварительного получения учетных данных.
Хотя разработчики SAP выпустили исправление уязвимости в апреле 2025 года, многие организации не успели своевременно установить обновления. К маю 2025 года к эксплуатации этой бреши присоединились вымогательские группировки и хакерские группы, связанные с китайскими государственными структурами.
Масштаб угрозы и география атак
Исследования компании Mandiant подтвердили, что уязвимость активно эксплуатировалась как 0-day уязвимость с середины марта 2025 года, еще до официального обнаружения и патчинга. Первоначальные атаки были направлены против университетов и правительственных организаций в Северной Америке и Азии.
Данный инцидент подчеркивает критическую важность оперативного обновления корпоративных систем и внедрения многоуровневых решений безопасности. Организациям рекомендуется незамедлительно проверить наличие обновлений для SAP NetWeaver, усилить мониторинг сетевой активности и провести аудит безопасности критически важных систем. Только комплексный подход к кибербезопасности может обеспечить надежную защиту от современных угроз, подобных Auto-Color.
