Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Злоумышленники использовали уязвимость в SAP NetWeaver для взлома американской химической компании

01/08/25

images - 2025-08-01T144255.835

Угроза, зарегистрированная как CVE-2025-31324, представляла собой ошибку в механизме загрузки файлов, позволявшую атакующим выполнять произвольный код на сервере без входа. Несмотря на то, что SAP выпустила обновление в апреле, происшествие произошёл как раз в тот отрезок, когда исправление ещё не было установлено, пишет Securitylab.

Атака заняла трое суток. Первыми признаками стали действия, напоминающие разведывательное сканирование устройств, доступных из интернета, предположительно использующих SAP NetWeaver. Позже было обнаружено, что злоумышленники использовали выявленную уязвимость для загрузки вредоносного исполняемого файла в формате ELF, соответствующего семейству вредоносных программ под названием Auto-Color.

Эта вредоносная утилита была впервые описана в феврале 2025 года командой Unit 42 компании Palo Alto Networks. Тогда она была замечена в атаках на университетские и правительственные учреждения в Северной Америке и Азии. Auto-Color действует как троян с удалённым доступом, обеспечивая атакующим полный контроль над заражёнными Linux-хостами. Набор его функций включает выполнение командной оболочки, создание и запуск файлов, манипуляции с системными настройками прокси, управление нагрузкой, сбор информации о системе и возможность полного самоуничтожения по команде.

Одна из ключевых особенностей Auto-Color — поведение, направленное на сокрытие своей активности. В случае, если соединение с командно-контрольным сервером не устанавливается, вредонос замедляет своё поведение или вовсе прекращает активность, имитируя безвредный файл. Это позволяет ему ускользать от систем обнаружения угроз и вызывать меньше подозрений на стадии начального проникновения.

Во время апрельского инцидента Auto-Color не смог установить постоянную связь с внешней инфраструктурой управления, но даже в этом состоянии проявил сложное поведение, демонстрируя глубокое понимание внутренней логики Linux и осторожность в действиях. По оценке аналитиков, авторы этой вредоносной программы сознательно минимизировали риски выявления, отключая активные функции в случае неудачного подключения к серверу управления.

Темы:СШАSAPПреступленияPalo Alto Unit 47Darktrace
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...