Угроза, зарегистрированная как CVE-2025-31324, представляла собой ошибку в механизме загрузки файлов, позволявшую атакующим выполнять произвольный код на сервере без входа. Несмотря на то, что SAP выпустила обновление в апреле, происшествие произошёл как раз в тот отрезок, когда исправление ещё не было установлено, пишет Securitylab.
Атака заняла трое суток. Первыми признаками стали действия, напоминающие разведывательное сканирование устройств, доступных из интернета, предположительно использующих SAP NetWeaver. Позже было обнаружено, что злоумышленники использовали выявленную уязвимость для загрузки вредоносного исполняемого файла в формате ELF, соответствующего семейству вредоносных программ под названием Auto-Color.
Эта вредоносная утилита была впервые описана в феврале 2025 года командой Unit 42 компании Palo Alto Networks. Тогда она была замечена в атаках на университетские и правительственные учреждения в Северной Америке и Азии. Auto-Color действует как троян с удалённым доступом, обеспечивая атакующим полный контроль над заражёнными Linux-хостами. Набор его функций включает выполнение командной оболочки, создание и запуск файлов, манипуляции с системными настройками прокси, управление нагрузкой, сбор информации о системе и возможность полного самоуничтожения по команде.
Одна из ключевых особенностей Auto-Color — поведение, направленное на сокрытие своей активности. В случае, если соединение с командно-контрольным сервером не устанавливается, вредонос замедляет своё поведение или вовсе прекращает активность, имитируя безвредный файл. Это позволяет ему ускользать от систем обнаружения угроз и вызывать меньше подозрений на стадии начального проникновения.
Во время апрельского инцидента Auto-Color не смог установить постоянную связь с внешней инфраструктурой управления, но даже в этом состоянии проявил сложное поведение, демонстрируя глубокое понимание внутренней логики Linux и осторожность в действиях. По оценке аналитиков, авторы этой вредоносной программы сознательно минимизировали риски выявления, отключая активные функции в случае неудачного подключения к серверу управления.