- 19,437
- 40
- 8 Ноя 2022
Троян Auto-Color целых три дня терзал американское предприятие изнутри.
Специалисты компании Darktrace Для просмотра ссылки Войдиили Зарегистрируйся целевую атаку на американскую химическую компанию, в ходе которой злоумышленники использовали критическую уязвимость в платформе SAP NetWeaver. Угроза, зарегистрированная как Для просмотра ссылки Войди или Зарегистрируйся , представляла собой ошибку в механизме загрузки файлов, позволявшую атакующим выполнять произвольный код на сервере без аутентификации. Несмотря на то, что SAP выпустила обновление в апреле, инцидент произошёл как раз в тот момент, когда исправление ещё не было установлено.
Атака развернулась в течение трёх суток. Первыми признаками стала активность, напоминающая разведывательное сканирование устройств, доступных из интернета, предположительно использующих SAP NetWeaver. Позже было обнаружено, что злоумышленники использовали выявленную уязвимость для загрузки вредоносного исполняемого файла в формате ELF, соответствующего семейству вредоносных программ под названием Для просмотра ссылки Войдиили Зарегистрируйся .
Эта вредоносная утилита была впервые описана в феврале 2025 года командой Unit 42 компании Palo Alto Networks. Тогда она была замечена в атаках на университетские и правительственные учреждения в Северной Америке и Азии. Auto-Color действует как троян с удалённым доступом, обеспечивая атакующим полный контроль над заражёнными Linux-хостами. Набор его функций включает выполнение командной оболочки, создание и запуск файлов, манипуляции с системными настройками прокси, управление нагрузкой, сбор информации о системе и возможность полного самоуничтожения по команде.
Одна из ключевых особенностей Auto-Color — поведение, направленное на сокрытие своей активности. В случае, если соединение с командно-контрольным сервером не устанавливается, вредонос замедляет своё поведение или вовсе прекращает активность, имитируя безвредный файл. Это позволяет ему ускользать от систем обнаружения угроз и вызывать меньше подозрений на стадии начального проникновения.
Во время апрельского инцидента Auto-Color не смог установить постоянную связь с внешней инфраструктурой управления, но даже в этом состоянии проявил сложное поведение, демонстрируя глубокое понимание внутренней логики Linux и осторожность в действиях. По оценке аналитиков, авторы этой вредоносной программы сознательно минимизировали риски выявления, отключая активные функции в случае неудачного подключения к серверу управления.
Факт атаки и использование Zero-Day-уязвимости в SAP NetWeaver подчёркивает растущий интерес злоумышленников к корпоративным бизнес-платформам. Это не первый случай, когда широко распространённое коммерческое программное обеспечение становится точкой входа для многоэтапной целевой атаки. Инцидент также демонстрирует, насколько быстро реагируют группировки после публикации исправлений: между выходом обновления и применением эксплойта прошло всего несколько дней.
Специалисты компании Darktrace Для просмотра ссылки Войди
Атака развернулась в течение трёх суток. Первыми признаками стала активность, напоминающая разведывательное сканирование устройств, доступных из интернета, предположительно использующих SAP NetWeaver. Позже было обнаружено, что злоумышленники использовали выявленную уязвимость для загрузки вредоносного исполняемого файла в формате ELF, соответствующего семейству вредоносных программ под названием Для просмотра ссылки Войди
Эта вредоносная утилита была впервые описана в феврале 2025 года командой Unit 42 компании Palo Alto Networks. Тогда она была замечена в атаках на университетские и правительственные учреждения в Северной Америке и Азии. Auto-Color действует как троян с удалённым доступом, обеспечивая атакующим полный контроль над заражёнными Linux-хостами. Набор его функций включает выполнение командной оболочки, создание и запуск файлов, манипуляции с системными настройками прокси, управление нагрузкой, сбор информации о системе и возможность полного самоуничтожения по команде.
Одна из ключевых особенностей Auto-Color — поведение, направленное на сокрытие своей активности. В случае, если соединение с командно-контрольным сервером не устанавливается, вредонос замедляет своё поведение или вовсе прекращает активность, имитируя безвредный файл. Это позволяет ему ускользать от систем обнаружения угроз и вызывать меньше подозрений на стадии начального проникновения.
Во время апрельского инцидента Auto-Color не смог установить постоянную связь с внешней инфраструктурой управления, но даже в этом состоянии проявил сложное поведение, демонстрируя глубокое понимание внутренней логики Linux и осторожность в действиях. По оценке аналитиков, авторы этой вредоносной программы сознательно минимизировали риски выявления, отключая активные функции в случае неудачного подключения к серверу управления.
Факт атаки и использование Zero-Day-уязвимости в SAP NetWeaver подчёркивает растущий интерес злоумышленников к корпоративным бизнес-платформам. Это не первый случай, когда широко распространённое коммерческое программное обеспечение становится точкой входа для многоэтапной целевой атаки. Инцидент также демонстрирует, насколько быстро реагируют группировки после публикации исправлений: между выходом обновления и применением эксплойта прошло всего несколько дней.
- Источник новости
- www.securitylab.ru
