Хакеры были замечены при эксплуатации критической уязвимости в SAP NetWeaver (CVE-2025-31324) с целью установки вредоносного ПО Auto-Color, ориентированного на Linux. Атака была направлена на химическую компанию, базирующуюся в США.
Компания по кибербезопасности Darktrace обнаружила атаку в ходе расследования инцидента в апреле 2025 года. Анализ показал, что вредоносное ПО Auto-Color эволюционировало и теперь включает усовершенствованные механизмы уклонения от обнаружения.
Согласно отчёту Darktrace, атака началась 25 апреля, а активная эксплуатация уязвимости стартовала спустя два дня. В этот момент на целевую систему был загружен ELF-файл (исполняемый файл для Linux).
Вредоносное ПО Auto-Color впервые было задокументировано исследователями Unit 42 из Palo Alto Networks в феврале 2025 года. Тогда они подчеркнули его способность к скрытности и высокую устойчивость к удалению после получения контроля над системой.
Функциональность Auto-Color включает:
Unit 42 не удалось установить начальный вектор заражения в ранее зафиксированных атаках, направленных против университетов и государственных организаций в Северной Америке и Азии.
CVE-2025-31324 представляет собой критическую уязвимость в компоненте Visual Composer Metadata Uploader платформы SAP NetWeaver. Проблема заключается в отсутствии надлежащей авторизации, что позволяет неаутентифицированному злоумышленнику загружать исполняемые бинарные файлы — включая вредоносные — напрямую на сервер. Это создаёт угрозу для конфиденциальности, целостности и доступности системы.
Технические характеристики:
Дополнительные сведения и патчи доступны в бюллетене SAP , а также на сайтах Onapsis и CISA.
(Источник: Darktrace)
SAP устранила уязвимость в апреле 2025 года. В течение нескольких дней фирмы ReliaQuest, Onapsis и watchTowr зафиксировали попытки её активной эксплуатации. Уже в мае к атакующей активности подключились операторы программ-вымогателей и хакеры, связанные с китайскими спецслужбами. По данным Mandiant, уязвимость использовалась как zero-day с середины марта.
Кроме первичного вектора доступа, Darktrace также выявила новое средство маскировки, применённое в последней версии Auto-Color. Если вредоносное ПО не может подключиться к жёстко заданному C2-серверу (Command-and-Control), оно подавляет основную вредоносную активность — что делает его "безвредным" на первый взгляд, особенно в изолированных или песочницах.
Это позволяет избежать анализа и реверс-инжиниринга, скрывая полезную нагрузку, механизмы сбора учётных данных и методы закрепления в системе.
К ранее задокументированным техникам относятся:
Источник
Компания по кибербезопасности Darktrace обнаружила атаку в ходе расследования инцидента в апреле 2025 года. Анализ показал, что вредоносное ПО Auto-Color эволюционировало и теперь включает усовершенствованные механизмы уклонения от обнаружения.
Согласно отчёту Darktrace, атака началась 25 апреля, а активная эксплуатация уязвимости стартовала спустя два дня. В этот момент на целевую систему был загружен ELF-файл (исполняемый файл для Linux).
Вредоносное ПО Auto-Color впервые было задокументировано исследователями Unit 42 из Palo Alto Networks в феврале 2025 года. Тогда они подчеркнули его способность к скрытности и высокую устойчивость к удалению после получения контроля над системой.
Технические детали Auto-Color
Auto-Color адаптирует своё поведение в зависимости от уровня привилегий пользователя, под которым оно выполняется. Оно использует файл ld.so.preload для скрытного внедрения в систему через подмену общих библиотек, обеспечивая устойчивую и скрытую автозагрузку.=Функциональность Auto-Color включает:
- выполнение произвольных команд;
- изменение файлов;
- создание обратной оболочки (reverse shell) для удалённого доступа;
- пересылку трафика (proxy);
- динамическое обновление конфигурации;
- модуль руткита для сокрытия активности от систем безопасности.
Unit 42 не удалось установить начальный вектор заражения в ранее зафиксированных атаках, направленных против университетов и государственных организаций в Северной Америке и Азии.
Уязвимость CVE-2025-31324: подробности
CVE-2025-31324 представляет собой критическую уязвимость в компоненте Visual Composer Metadata Uploader платформы SAP NetWeaver. Проблема заключается в отсутствии надлежащей авторизации, что позволяет неаутентифицированному злоумышленнику загружать исполняемые бинарные файлы — включая вредоносные — напрямую на сервер. Это создаёт угрозу для конфиденциальности, целостности и доступности системы.
Технические характеристики:
- Тип уязвимости: CWE-434 — неконтролируемая загрузка файла опасного типа (Unrestricted Upload of File with Dangerous Type)
- CVSS (по данным NIST): 9.8 / Критическая
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - CVSS (по данным SAP): 10.0 / Критическая
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - Затронутая версия: SAP NetWeaver 7.50
- В каталог CISA KEV (Known Exploited Vulnerabilities) добавлена: 29 апреля 2025
Требуемое действие: устранить уязвимость до 20 мая 2025 года, согласно рекомендациям BOD 22-01
Дополнительные сведения и патчи доступны в бюллетене SAP , а также на сайтах Onapsis и CISA.
Хронология атаки
(Источник: Darktrace)
SAP устранила уязвимость в апреле 2025 года. В течение нескольких дней фирмы ReliaQuest, Onapsis и watchTowr зафиксировали попытки её активной эксплуатации. Уже в мае к атакующей активности подключились операторы программ-вымогателей и хакеры, связанные с китайскими спецслужбами. По данным Mandiant, уязвимость использовалась как zero-day с середины марта.
Кроме первичного вектора доступа, Darktrace также выявила новое средство маскировки, применённое в последней версии Auto-Color. Если вредоносное ПО не может подключиться к жёстко заданному C2-серверу (Command-and-Control), оно подавляет основную вредоносную активность — что делает его "безвредным" на первый взгляд, особенно в изолированных или песочницах.
Это позволяет избежать анализа и реверс-инжиниринга, скрывая полезную нагрузку, механизмы сбора учётных данных и методы закрепления в системе.
К ранее задокументированным техникам относятся:
- адаптация поведения в зависимости от прав пользователя;
- использование безобидных имён файлов;
- перехват функций libc;
- фальшивые директории логов;
- C2-соединения через TLS;
- уникальные хэши для каждого экземпляра;
- наличие механизма "kill switch".
Рекомендации
Учитывая активную эксплуатацию CVE-2025-31324, администраторам SAP следует немедленно применить соответствующие обновления безопасности или временные меры защиты, указанные в закрытом бюллетене SAP для клиентов.Источник
