Önde gelen bir siber güvenlik araştırma firması olan Darktrace, kaçamaklı oto-renk arka kapı kötü amaçlı yazılımlarını dağıtmak için kritik bir SAP netweaver güvenlik açığından (CVE-2025-31324) yararlanan ilk belgelenmiş tehdit aktörleri olduğuna inanılan şeyin belirlendi.
24 Nisan 2025’te SAP SE tarafından açıklanan ve 10’luk bir CVSS puanı atanan bu kusur, saldırganların SAP NetWeaver Uygulama Sunucusuna kötü amaçlı dosyalar yüklemesini sağlayarak potansiyel olarak uzaktan kod yürütme ve tam sistem uzlaşmasına yol açtığı için özellikle tehlikelidir.
Otomatik renkli hakkında
İlk olarak Kasım 2024’te görülen ve daha önce ABD ve Asya’daki hedefleme sistemleri gözlemlenen otomatik renkli arka kapı, kendini yeniden adlandırma yeteneği olarak adlandırılan bir uzaktan erişim Truva atı (sıçan)./var/log/cross/auto-color“Yetkilendirme sonrası. Öncelikle ABD ve Asya’daki üniversitelerde ve devlet kurumlarında bulunan Linux sistemlerini hedefliyor.
Otomatik renk, kalıcı sistem uzlaşması için ld.so.preload gibi yerleşik Linux özelliklerinden yararlanan oldukça kaçındır. Her örnek, statik olarak derlenmiş ve şifrelenmiş komut ve kontrol (C2) yapılandırmaları nedeniyle benzersizdir. Yeni bir bulgu, kötü amaçlı yazılımların bastırma taktiğidir: C2 bağlantıları başarısız olursa “uyku gibi davranabilir”, analistlere iyi huylu görünür ve analiz sırasında tüm yeteneklerini gizler.
Saldırı Zaman Çizelgesi: Kötü amaçlı yazılım sunumuna SAP istismarı
Bu önemli araştırma, Hackread.com ile Salı günü yayınlanmasından önce paylaşıldı ve Nisan 2025’te Darktrace Güvenlik Operasyon Merkezi (SOC) ABD tabanlı bir kimyasal şirketin ağına çok aşamalı bir otomatik renk saldırısı tespit etti.
Araştırmacılara göre, 25 Nisan’dan itibaren CVE-2025-31324 için ilk tarama gözlemlendi. Aktif sömürü 27 Nisan’da IP 91.193.19.109’dan gelen bir bağlantı ve istismara işaret eden bir zip dosyası indirme ile başladı.
Geri ihlal edilen cihaz, 27 ve 28 Nisan tarihlerinde, güvenlik açığı testi veya veri tünelleme taktiği olan Bant Dışı Uygulama Güvenlik Testi (OAST) alanları için hemen şüpheli DNS talepleri yaptı.
Kabaca on saat sonra, 27 Nisan’da bir kabuk komut dosyası (config.sh) indirildi. Cihaz daha sonra bir C2 platformu olan Supershell’e bağlı bir uç nokta olan 47.97.42.177’ye bağlantı kurdu. 12 saatten daha kısa bir süre sonra, 28 Nisan’da, otomatik renkli ELF kötü amaçlı yazılım dosyası 146.70.41.178’den indirildi. Darktrace’in soruşturması, bunun SAP NetWeaver sömürüsünün otomatik renk kötü amaçlı yazılımları ile ilk gözlenen eşleştirilmesi olduğunu doğruladı.
AI ile çalışan güvenlik gizli saldırı durdurur
Darktrace’in AI güdümlü otonom tepki yeteneği hızla müdahale etti ve 28 Nisan’dan başlayarak 30 dakika boyunca etkilenen cihazda bir “yaşam modeli” uyguladı. Bu, normal iş operasyonlarına izin verirken daha fazla kötü niyetli eylemleri önledi. Birden fazla uyarı tetiklendi, bu da Darktrace’in Yönetilen Tespit ve Yanıt (MDR) hizmeti tarafından soruşturma yapılıyor.
Analistler, otonom müdahale eylemlerini 24 saat daha genişleterek müşterinin güvenlik ekibine soruşturma ve iyileştirme için önemli bir süre verdi.
Bu olay, acil açıklamalara rağmen, CVE-2025-31324 gibi güvenlik açıklarının aktif olarak sömürüldüğünü ve daha kalıcı tehditlere yol açtığını vurgulamaktadır. Darktrace’in zamanında tespit ve özerk yanıtı, tehdidin içerilmesini sağladı, bu da yükselmeyi önledi ve sofistike, çok aşamalı saldırıları engellemede AI’nın gücünü gösterdi.
Qualys Tehdit Araştırma Birimi’nden Güvenlik Araştırma Müdürü Mayursh Dani, açıklamaya rağmen CVE-2025-31324 aktif olarak sömürüldüğünden, kuruluşların derhal eylemde bulunması gerektiğini söyledi.
“CVE-2025-31324’e karşı hemen yama SAP NetWeaver Sistemleri, ancak bir nedenden dolayı yamayı yükleyemezlerse, bu SAP NetWeaver kurulumlarını internette ortaya çıkarmayı, izole etmeyi ve engellemeleri hemen bırakmalıdırlar. /developmentserver/metadatauploader Son nokta ve ayrıca iletimden önce her ağ işlemini ihlal eden ve doğrulayan bir sıfır tröst mimarisi dağıtın. ”, Mayuresh.