In un attacco informatico durato tre giorni questo aprile, Gli hacker hanno sfruttato una vulnerabilità SAP recentemente scoperta per infiltrarsi in un'azienda chimica con sede negli Stati Uniti, distribuzione di un malware Linux stealth noto come backdoor Auto-Color.
Azienda di sicurezza informatica Darktrace dice gli aggressori hanno ottenuto l'accesso attraverso una falla critica in SAP NetWeaver (CVE-2025-31324), consentendo loro di installare il malware e di comunicare con infrastrutture dannose note. L'attacco è stato fermato prima che si verificassero danni significativi, grazie alla tecnologia di difesa autonoma dell'azienda, che ha isolato i sistemi interessati.
Una rara combinazione exploit-malware
L'associazione di una vulnerabilità SAP zero-day con Auto-Color, un Trojan di accesso remoto (RAT) osservato per la prima volta alla fine dell'anno scorso, è una combinazione piuttosto unica. Infatti, questo è il primo caso noto di malware distribuito tramite sfruttamento SAP.
SAP ha rivelato la falla CVE-2025-31324 ad aprile 24, avvertendo che consentiva agli aggressori di caricare file su un server NetWeaver, aprendo la porta per esecuzione di codice remoto e potenzialmente il controllo completo del sistema. Solo pochi giorni dopo, Darktrace ha rilevato l'exploit in uso in natura.
Come si è svolto l'attacco?
Secondo Darktrace, la violazione iniziale è iniziata ad aprile 25 con un'ondata di traffico in entrata sospetto che sonda un server pubblico. Due giorni dopo, gli aggressori hanno consegnato un file ZIP tramite un URI SAP contraffatto, sfruttando la vulnerabilità per installare file dannosi sul sistema. Presto si sono avute prove del tunneling DNS, una tecnica spesso utilizzata per far uscire di nascosto i dati da una rete senza attivare avvisi..
Il malware è stato distribuito poco dopo tramite uno script scaricato che ha recuperato ed eseguito un binario ELF, il payload di Auto-Color, segnando la completa compromissione del dispositivo host..
Colore automatico: Una backdoor sofisticata con evasione integrata
Auto-Color non è una normale backdoor. Si rinomina per assomigliare a un file di registro di sistema e si nasconde in profondità nei sistemi Linux, ottenere persistenza modificando le librerie di sistema principali. Utilizza una tecnica nota come manipolazione del precarico, consentendogli di agganciarsi a quasi tutte le applicazioni avviate sul dispositivo.
Ma ciò che rende Auto-Color particolarmente pericoloso è la sua capacità di rimanere inattivo. Se non riesce a connettersi al suo comando e controllo (C2) server, in genere su canali crittografati sulla porta 44, ne sopprime il comportamento, evitando il rilevamento in ambienti sandbox o reti air-gapped. Solo quando raggiunge con successo il suo operatore attiva la sua gamma completa di capacità.
La risposta controllata ha evitato danni maggiori
La piattaforma Cyber AI di Darktrace ha rilevato download di file insoliti, Comportamento DNS, e connessioni in uscita in anticipo. Il suo sistema di risposta autonoma ha imposto un “modello di vita” sul dispositivo compromesso, limitandolo alla normale attività commerciale e impedendo ulteriori movimenti laterali.
Traffico in uscita del malware verso un indirizzo C2 noto (146.70.41.178) è stato anche bloccato, impedire ad Auto-Color di avviare comandi remoti come shell inverse, esecuzione del file, o manipolazione proxy: caratteristiche che si ritiene facciano parte del suo protocollo C2 modulare.
L'autore della minaccia ha chiaramente compreso i meccanismi interni di Linux e ha adottato misure per ridurre al minimo la visibilità, ha detto un portavoce di Darktrace. Ma identificando e contenendo l'attività in anticipo, i sistemi della società di sicurezza hanno impedito un incidente molto più dannoso.
Le parole finali
Questo attacco mostra direttamente quanto velocemente le vulnerabilità appena divulgate possano essere sfruttate in ambienti reali, soprattutto se abbinato a malware avanzati come Auto-Color. Mentre il malware rimane una minaccia, La rapida risposta di Darktrace ha dato al team di sicurezza interna dell'azienda il tempo necessario per indagare, toppa, e rimediare.
I ricercatori di sicurezza avvertono che è probabile che il malware Auto-Color continui a evolversi. La sua furtività, adattabilità, e la capacità di persistere attraverso i riavvii lo rendono un'arma potente nelle mani degli attori della minaccia, in particolare quelli che prendono di mira i settori ad alto valore