Atacantes cibernéticos foram observados explorando uma falha crítica no SAP NetWeaver, já corrigida, para entregar o backdoor Auto-Color em um ataque direcionado a uma empresa de produtos químicos baseada nos EUA em Abril de 2025.
"No decorrer de três dias, um ator de ameaças ganhou acesso à rede do cliente, tentou baixar vários arquivos suspeitos e comunicou-se com a infraestrutura maliciosa ligada ao malware Auto-Color", disse a Darktrace em um relatório compartilhado com o a imprensa.
A vulnerabilidade em questão é a
CVE-2025-31324
, um grave bug de upload de arquivo não autenticado no SAP NetWeaver que permite a execução remota de código (RCE).
Ela foi corrigida pela SAP em Abril.
Auto-Color, documentado pela primeira vez pelo Palo Alto Networks Unit 42 em Fevereiro deste ano, funciona de modo semelhante a um trojan de acesso remoto, permitindo o acesso remoto a hosts Linux comprometidos.
Ele foi observado em ataques direcionados a universidades e organizações governamentais na América do Norte e Ásia entre Novembro e Dezembro de 2024.
O malware foi encontrado tentando esconder seu comportamento malicioso caso falhe em se conectar ao seu servidor de comando-e-controle (C2), um sinal de que os atores de ameaças estão procurando evitar detecção ao dar a impressão de que é benigno.
Ele suporta várias funcionalidades, incluindo shell reverso, criação e execução de arquivos, configuração de proxy do sistema, manipulação de payload global, perfilamento do sistema, e até mesmo auto-remoção quando um gatilho de autodestruição é ativado.
O incidente detectado pela Darktrace ocorreu em 28 de Abril, quando foi alertada para o download de um binário ELF suspeito em uma máquina exposta à internet, provavelmente executando SAP NetWeaver.
Dito isso, sinais iniciais de atividade de varredura foram ditos ter ocorrido pelo menos três dias antes.
"
CVE-2025-31324
foi aproveitada nesse caso para lançar um ataque de segunda fase, envolvendo o comprometimento do dispositivo voltado para a internet e o download de um arquivo ELF representando o malware Auto-Color", disse a empresa.
"Do início da intrusão até a falha no estabelecimento de comunicação C2, o malware Auto-Color mostrou um claro entendimento dos sistemas Linux e demonstrou uma restrição calculada projetada para minimizar exposição e reduzir o risco de detecção."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...