Se ha observado que los funcionarios de amenazas explotan los fallas críticas de SAP Netweaver de SAP actualmente parcheadas para entregar puertas traseras automáticas en un ataque dirigido a compañías químicas con sede en los Estados Unidos en abril de 2025.
«Durante tres días, los actores de amenaza han accedido a las redes de sus clientes, intentaron descargar algunos archivos sospechosos y comunicados con infraestructura maliciosa vinculada al malware de color automático», dijo Darktrace en un informe que comparten con Hacker News.
La vulnerabilidad en cuestión es CVE-2025-31324. Este es un error de carga de archivos severo y no autenticado en SAP NetWeaver que habilita la ejecución del código remoto (RCE). El parche fue aplicado por SAP en abril.
Auto-Color fue documentado por primera vez por la Unidad 42 de Palo Alto Networks a principios de febrero de este año y funciona de manera similar a un troyano de acceso remoto, lo que permite el acceso remoto a los hosts de Linux comprometidos. Se observó en ataques dirigidos a universidades y organizaciones gubernamentales en América del Norte y Asia de noviembre a diciembre de 2024.
Se sabe que el malware oculta el comportamiento malicioso si no puede conectarse a un servidor de comando y control (C2). Esto indica que los actores de amenaza están tratando de evitar la detección dando la impresión de que son benignos.
Admite una variedad de funciones, que incluyen Shell Reverse, creación y ejecución de archivos, configuración de proxy del sistema, operaciones globales de carga útil, perfiles de sistema e incluso egoístas cuando se activa un interruptor de asesinato.
El incidente detectado por DarkTrace tuvo lugar el 28 de abril, cuando se le advirtió sobre descargas de binarios de elfos sospechosos en una máquina expuesta en Internet que probablemente ejecute SAP Netweaver. Dicho esto, se dice que los primeros signos de actividad de escaneo ocurrieron hace al menos tres días.
«CVE-2025-31324 ha lanzado un ataque de segunda etapa que se aprovechó en este caso e implica dispositivos comprometidos para Internet y la descarga de archivos ELF que representan malware de color automático», dijo la compañía.
«Desde la intrusión inicial hasta la falla en establecer las comunicaciones C2, el malware automático de color ha demostrado una clara comprensión de Linux internamente, lo que demuestra restricciones calculadas diseñadas para minimizar la exposición y reducir el riesgo de detección».
Source link
