Уязвимость SAP NetWeaver использовалась для атаки вредоносного ПО Auto Color на американскую фирму

Darktrace, ведущая исследовательская компания в области кибербезопасности, выявила, предположительно, первый задокументированный случай использования злоумышленниками критической уязвимости SAP NetWeaver (CVE-2025-31324) для развертывания скрытого вредоносного бэкдора Auto-Color.

Эта уязвимость, обнаруженная SAP SE 24 апреля 2025 года и получившая оценку CVSS 10, особенно опасна, поскольку она позволяет злоумышленникам загружать вредоносные файлы на сервер приложений SAP NetWeaver, что потенциально приводит к удаленному выполнению кода и полной компрометации системы.

Бэкдор Auto-Color, впервые обнаруженный в ноябре 2024 года и ранее атаковавший системы в США и Азии, представляет собой троян удалённого доступа (RAT), получивший своё название благодаря способности переименовывать себя в « /var/log/cross/auto-color » после выполнения. Он в основном атакует системы Linux, часто встречающиеся в университетах и государственных учреждениях США и Азии.

Auto-Color отличается высокой скрытностью и использует встроенные функции Linux, такие как ld.so.preload, для постоянного взлома системы. Каждый экземпляр уникален благодаря статически скомпилированным и зашифрованным конфигурациям командно-управляющего сервера (C2). Ключевым новым открытием стала тактика подавления вредоносной программы: она может «притворяться спящей» при сбое соединения с C2, демонстрируя аналитикам свою безвредность и скрывая все свои возможности во время анализа.

Это важнейшее исследование было предоставлено Hackread.com перед его публикацией во вторник. Согласно ему, в апреле 2025 года Центр безопасности и операций Darktrace (SOC) выявил многоэтапную атаку Auto-Color на сеть американской химической компании.

По словам исследователей, первоначальное сканирование на наличие CVE-2025-31324 было отмечено 25 апреля. Активная эксплуатация началась 27 апреля со входящего соединения с IP-адреса 91.193.19.109 и загрузки ZIP-файла, сигнализирующего об эксплойте.

Взломанное устройство 27 и 28 апреля сразу же начало отправлять подозрительные DNS-запросы на домены OAST (Out-of-Band Application Security Testing), что является тактикой тестирования уязвимостей или туннелирования данных.

Примерно десять часов спустя, 27 апреля, был загружен скрипт оболочки (config.sh). Затем устройство подключилось к точке доступа 47.97.42.177, связанной с Supershell, платформой командного сервера. Менее чем через 12 часов, 28 апреля, с адреса 146.70.41.178 был загружен вредоносный файл Auto-Color ELF. Расследование Darktrace подтвердило, что это был первый зафиксированный случай использования уязвимости SAP NetWeaver и вредоносного ПО Auto-Color.

Функция автономного реагирования Darktrace на базе искусственного интеллекта (ИИ) быстро сработала, установив определенный режим работы на пострадавшем устройстве в течение 30 минут, начиная с 28 апреля. Это предотвратило дальнейшие вредоносные действия, сохранив при этом нормальную работу компании. Было получено несколько оповещений, что побудило службу управляемого обнаружения и реагирования (MDR) Darktrace начать расследование.

Аналитики продлили действие функции автономного реагирования еще на 24 часа, предоставив службе безопасности клиента необходимое время для расследования и устранения неполадок.

Этот инцидент демонстрирует, что, несмотря на срочные сообщения об уязвимостях, такие как CVE-2025-31324, продолжают активно эксплуатироваться, что приводит к более устойчивым угрозам. Своевременное обнаружение и автономное реагирование Darktrace обеспечили локализацию угрозы, предотвратив её эскалацию и продемонстрировав мощь ИИ в противодействии сложным многоэтапным атакам.

«Поскольку уязвимость CVE-2025-31324 продолжает активно эксплуатироваться, несмотря на раскрытие информации, организациям следует принять немедленные меры», — заявил Майюреш Дани , менеджер по исследованиям безопасности в подразделении исследований угроз Qualys.

«Немедленно установите исправление для систем SAP NetWeaver, устраняющее уязвимость CVE-2025-31324. Однако если по какой-то причине установить исправление не удастся, следует немедленно прекратить публикацию этих установок SAP NetWeaver в Интернете, изолировать их и заблокировать конечную точку /developmentserver/metadatauploader , а также развернуть архитектуру с нулевым доверием, которая предполагает наличие уязвимости и проверяет каждую сетевую транзакцию перед передачей», — подчеркнул Маюреш.