Attacco informatico sfrutta vulnerabilità critica di SAP NetWeaver per diffondere il malware Auto-Color
Nel mese di aprile 2025, un’azienda chimica statunitense è stata bersaglio di un attacco informatico che ha sfruttato una vulnerabilità critica ora risolta in SAP NetWeaver. Gli attori della minaccia hanno utilizzato questa falla per distribuire il backdoor Auto-Color, come riportato da Darktrace in un documento condiviso con The Hacker News.
La vulnerabilità, identificata come CVE-2025-31324, è un grave bug di caricamento di file non autenticato in SAP NetWeaver che consente l’esecuzione di codice remoto (RCE). SAP ha rilasciato una patch per questa vulnerabilità ad aprile. Auto-Color, documentato per la prima volta da Palo Alto Networks Unit 42 nel febbraio precedente, funziona come un trojan di accesso remoto, permettendo l’accesso remoto a host Linux compromessi. Tra novembre e dicembre 2024, è stato osservato in attacchi contro università e organizzazioni governative in Nord America e Asia.
Il malware Auto-Color è progettato per nascondere il suo comportamento malevolo se non riesce a connettersi al suo server di comando e controllo (C2), un chiaro segnale che gli attori della minaccia cercano di evitare il rilevamento facendo apparire il software innocuo. Tra le sue funzionalità ci sono shell inversa, creazione ed esecuzione di file, configurazione del proxy di sistema, manipolazione globale del payload, profilazione del sistema e persino auto-rimozione quando viene attivato un interruttore di spegnimento.
Secondo Darktrace, l’incidente è stato rilevato il 28 aprile, quando è stato segnalato il download di un file binario ELF sospetto su una macchina esposta a Internet, probabilmente in esecuzione su SAP NetWeaver. Tuttavia, i primi segnali di attività di scansione sono stati registrati almeno tre giorni prima.
“CVE-2025-31324 è stata sfruttata in questo caso per lanciare un attacco di seconda fase, che ha comportato la compromissione del dispositivo esposto a Internet e il download di un file ELF rappresentante il malware Auto-Color,” ha dichiarato l’azienda. “Dall’intrusione iniziale al fallito tentativo di stabilire la comunicazione C2, il malware Auto-Color ha dimostrato una chiara comprensione degli interni di Linux e ha mostrato una cautela calcolata progettata per minimizzare l’esposizione e ridurre il rischio di rilevamento.”
Considerazioni finali
Dal nostro punto di vista, questo incidente sottolinea l’importanza cruciale di mantenere aggiornati i sistemi con le ultime patch di sicurezza. Le vulnerabilità come CVE-2025-31324 possono essere sfruttate rapidamente dagli attori delle minacce, mettendo a rischio le infrastrutture critiche. Inoltre, la sofisticazione del malware Auto-Color evidenzia la necessità di soluzioni di sicurezza avanzate che possano rilevare e mitigare comportamenti malevoli anche quando questi cercano di mascherarsi come innocui. Riteniamo che le aziende debbano investire in tecnologie di rilevamento delle minacce e formazione continua per il personale per affrontare efficacemente le minacce in evoluzione nel panorama della sicurezza informatica.
Fonte: The Hackers News
