Кіберзлочинці продовжують розробляти все більш витончені методи проникнення в корпоративні мережі. Нещодавнє дослідження фахівців Darktrace виявило тривожну тенденцію: зловмисники активно експлуатують критичну уразливість CVE-2025-31324 у системі SAP NetWeaver для розгортання передового Linux-малвару Auto-Color. Цей інцидент, зафіксований у квітні 2025 року в мережі американської хімічної компанії, демонструє нові можливості адаптації шкідливого програмного забезпечення до сучасних засобів захисту.
Архітектура загрози Auto-Color: еволюція Linux-бекдорів
Вперше ідентифікований дослідниками Palo Alto Networks на початку 2025 року, малвар Auto-Color представляє собою складну багатофункціональну загрозу з унікальними механізмами приховування. На відміну від традиційних бекдорів, ця програма демонструє вражаючий рівень технічної досконалості.
Основні характеристики шкідливого ПО включають використання невинних назв файлів на кшталт “door” або “egg”, що не викликають підозр у системних адміністраторів. Програма застосовує власні алгоритми шифрування для захисту каналів зв’язку з командними серверами та конфігураційних даних, що ускладнює її виявлення стандартними засобами безпеки.
Інтелектуальні механізми адаптації та приховування
Найбільш вражаючою особливістю Auto-Color є здатність динамічно змінювати поведінку залежно від рівня привілеїв користувача. Бекдор використовує механізм ld.so.preload для прихованого збереження даних через ін’єкції shared-об’єктів, що робить його практично невидимим для традиційних антивірусних рішень.
Функціональний арсенал шкідливої програми включає запуск зворотних оболонок, збір системної інформації, створення та модифікацію файлів, виконання довільних програм. Крім того, заражена машина може функціонувати як проксі-сервер для подальших атак на інфраструктуру організації.
Механізм самознищення: “цифровий рубильник”
Однією з найбільш продуманих функцій Auto-Color є вбудований механізм самознищення, який дозволяє зловмисникам повністю видалити сліди зараження з скомпрометованих систем. Ця можливість значно ускладнює проведення цифрової криміналістики та розслідування інцидентів безпеки.
Згідно з аналізом Darktrace, при недоступності керуючого сервера Auto-Color переходить у пасивний режим, практично повністю припиняючи шкідливу активність. Така поведінка створює хибне враження нешкідливості програми та серйозно ускладнює процес аналізу для фахівців з інформаційної безпеки.
Експлуатація критичної уразливості SAP NetWeaver
Уразливість CVE-2025-31324 у SAP NetWeaver дозволяє зловмисникам завантажувати та виконувати довільний код без необхідності автентифікації. Це робить її особливо привабливою для кіберзлочинців, оскільки не вимагає попереднього отримання облікових даних.
Хоча розробники SAP випустили виправлення уразливості у квітні 2025 року, багато організацій не встигли своєчасно встановити оновлення. До травня 2025 року до експлуатації цієї бреші приєдналися вимагальницькі угруповання та хакерські групи, пов’язані з державними структурами Китаю.
Географія атак та масштаб загрози
Дослідження компанії Mandiant підтвердили, що уразливість активно експлуатувалася як 0-day уразливість з середини березня 2025 року, ще до офіційного виявлення та патчингу. Початкові атаки були спрямовані проти університетів та урядових організацій у Північній Америці та Азії.
Цей інцидент підкреслює критичну важливість оперативного оновлення корпоративних систем та впровадження багаторівневих рішень безпеки. Організаціям рекомендується негайно перевірити наявність оновлень для SAP NetWeaver, посилити моніторинг мережевої активності та провести аудит безпеки критично важливих систем. Лише комплексний підхід до кібербезпеки може забезпечити надійний захист від сучасних загроз на кшталт Auto-Color.
