Atacantes cibernéticos foram observados explorando uma falha crítica no SAP NetWeaver, já corrigida, para entregar o backdoor Auto-Color em um ataque direcionado a uma empresa de produtos químicos baseada nos EUA em Abril de 2025.
"No decorrer de três dias, um ator de ameaças ganhou acesso à rede do cliente, tentou baixar vários arquivos suspeitos e comunicou-se com a infraestrutura maliciosa ligada ao malware Auto-Color", disse a Darktrace em um relatório compartilhado com o a imprensa.
A vulnerabilidade em questão é a
CVE-2025-31324
, um grave bug de upload de arquivo não autenticado no SAP NetWeaver que permite a execução remota de código (RCE).
Ela foi corrigida pela SAP em Abril.
Auto-Color, documentado pela primeira vez pelo Palo Alto Networks Unit 42 em Fevereiro deste ano, funciona de modo semelhante a um trojan de acesso remoto, permitindo o acesso remoto a hosts Linux comprometidos.
Ele foi observado em ataques direcionados a universidades e organizações governamentais na América do Norte e Ásia entre Novembro e Dezembro de 2024.
O malware foi encontrado tentando esconder seu comportamento malicioso caso falhe em se conectar ao seu servidor de comando-e-controle (C2), um sinal de que os atores de ameaças estão procurando evitar detecção ao dar a impressão de que é benigno.
Ele suporta várias funcionalidades, incluindo shell reverso, criação e execução de arquivos, configuração de proxy do sistema, manipulação de payload global, perfilamento do sistema, e até mesmo auto-remoção quando um gatilho de autodestruição é ativado.
O incidente detectado pela Darktrace ocorreu em 28 de Abril, quando foi alertada para o download de um binário ELF suspeito em uma máquina exposta à internet, provavelmente executando SAP NetWeaver.
Dito isso, sinais iniciais de atividade de varredura foram ditos ter ocorrido pelo menos três dias antes.
"
CVE-2025-31324
foi aproveitada nesse caso para lançar um ataque de segunda fase, envolvendo o comprometimento do dispositivo voltado para a internet e o download de um arquivo ELF representando o malware Auto-Color", disse a empresa.
"Do início da intrusão até a falha no estabelecimento de comunicação C2, o malware Auto-Color mostrou um claro entendimento dos sistemas Linux e demonstrou uma restrição calculada projetada para minimizar exposição e reduzir o risco de detecção."
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...