<div id="post_message_806840">

Эксперты Darktrace <a href="https://www.darktrace.com/blog/auto-color-backdoor-how-darktrace-thwarted-a-stealthy-linux-intrusion" target="_blank">предупредили</a>, что хакеры эксплуатировали критическую уязвимость в SAP NetWeaver (<a href="https://nvd.nist.gov/vuln/detail/CVE-2025-31324" target="_blank">CVE-2025-31324</a>) для внедрения Linux-малвари Auto-Color в сеть неназванной американской химической компании.<br/>
<br/>
Исследователи обнаружили атаку в апреле 2025 года, и в ходе расследования инцидента выяснилось, что за последние месяцы Auto-Color изменилась и стала применять новые методы уклонения от обнаружения.<br/>
<br/>
Напомним, что впервые Auto-Color <a href="https://xakep.ru/2025/02/27/auto-color/" target="_blank">обнаружили </a>специалисты Palo Alto Networks в начале 2025 года. Тогда отмечалось, что вредонос обладает целым арсеналом приемов, которые использует для уклонения от обнаружения. Среди них: использование безобидных на первый взгляд имен файлов (например, door или egg), сокрытие C&amp;C-коммуникаций и использование собственных алгоритмов шифрования для маскировки коммуникационной и конфигурационной информации.<br/>
<br/>
Бэкдор корректирует свое поведение в зависимости от уровня привилегий пользователя и использует ld.so.preload для скрытного сохранения данных с помощью инъекций shared-объектов.<br/>
<br/>
Auto-Color способен: запускать реверс-шелл, собирать системную информацию, создавать и изменять файлы, запускать программы, использовать зараженную машину в качестве прокси и даже уничтожать сам себя с помощью специального «рубильника» в коде. Последняя функция позволяет злоумышленникам удалить следы заражения со взломанных машин.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Если управляющий сервер недоступен, Auto-Color фактически останавливается и не задействует всю свою вредоносную функциональность, и выглядит вполне безвредным для аналитиков, — отмечают в Darktrace. — Такое поведение мешает проведению анализа и не позволяет определить, какие именно полезные нагрузки, механизмы кражи учетных данных или методы закрепления используются».</font>
</td>
</tr>
</table>
</div>Однако специалистам Palo Alto Networks не удалось обнаружить первоначальный вектор атак, в то время направленных на университеты и правительственные организации в Северной Америке и Азии.<br/>
<br/>
Как теперь сообщили специалисты Darktrace, злоумышленники, стоящие за Auto-Color, эксплуатируют критическую уязвимость CVE-2025-31324 в NetWeaver, которая позволяет загружать вредоносные бинарники для удаленного выполнения кода без аутентификации.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/545906/timeline1.jpg"/><br/>
<br/>
Разработчики SAP <a href="https://me.sap.com/notes/3594142" target="_blank">исправили </a>эту уязвимость в апреле 2025 года, но уже тогда ИБ-специалисты предупреждали об активных попытках эксплуатации. К маю 2025 года к атакам подключились вымогательские группировки и китайские «правительственные» хакеры, а компания Mandiant <a href="https://www.linkedin.com/posts/charlescarmakal_active-exploitation-of-sap-zero-day-vulnerability-activity-7321721880543965185-TK9Z/" target="_blank">обнаружила доказательства</a> того, что уязвимость использовалась как 0-day как минимум с середины марта 2025 года.<br/>
<br/>
<a href="https://xakep.ru/2025/08/01/auto-color-attacks" target="_blank">@ xakep.ru</a>
</div>