Bilgisayar korsanları, ABD tabanlı bir kimyasallar şirketindeki bir siber saldırıya otomatik renkli Linux kötü amaçlı yazılımını dağıtmak için CVE-2025-31324 olarak izlenen kritik bir SAP NetWeaver güvenlik açığından yararlandı.
Siber güvenlik firması Darktrace, Nisan 2025’te bir olay yanıtı sırasında saldırıyı keşfetti ve burada bir soruşturma, otomatik renk kötü amaçlı yazılımın ek ileri kaçakçılaşma taktiklerini içerecek şekilde geliştiğini ortaya koydu.
Darktrace, saldırının 25 Nisan’da başladığını, ancak iki gün sonra aktif sömürü gerçekleştiğini ve hedeflenen makineye bir ELF (Linux yürütülebilir) dosyası verdiğini bildirdi.
Otomatik renk kötü amaçlı yazılımları ilk olarak Şubat 2025’te Palo Alto Networks birim 42 araştırmacıları tarafından belgelendi ve bu da bir makinede bir dayanak oluşturduktan sonra ortadan kaldırma zorluğunu vurguladı.
Arka kapı, davranışını çalıştırdığı kullanıcı ayrıcalık seviyesine göre ayarlar ve paylaşılan nesne enjeksiyonu yoluyla gizli kalıcılık için ‘ld.so.preload’ kullanır.
Otomatik renkli, keyfi komut yürütme, dosya modifikasyonu, tam uzaktan erişim için ters kabuk, proxy trafik yönlendirme ve dinamik yapılandırma güncelleme gibi özelliklere sahiptir. Ayrıca kötü amaçlı faaliyetlerini güvenlik araçlarından gizleyen bir rootkit modülü vardır.
Ünite 42, Kuzey Amerika ve Asya’daki üniversiteleri ve devlet kuruluşlarını hedefleyen saldırılardan ilk enfeksiyon vektörünü bulamadı.
DarkTrace’in son araştırmasına göre, otomatik renkten istismar CVE-2025-31324’ün arkasındaki tehdit aktörleri, NetWeaver’da, kimlik doğrulanmamış saldırganların uzaktan kod yürütme (RCE) elde etmek için kötü niyetli ikili yüklemelerini sağlayan kritik bir güvenlik açığı.
.jpg)
Kaynak: Darktrace
SAP, Nisan 2025’te kusuru düzeltti, güvenlik firmaları Reliaquest, Onapsis ve Watchtowr, sadece birkaç gün sonra doruğa ulaşan aktif sömürü girişimleri gördüğünü bildirdi.
Mayıs ayına kadar, fidye yazılımı aktörleri ve Çin devlet korsanları sömürü faaliyetine katılırken, Mantiant en az Mart 2025’ten beri CVE-2025-31324 için sıfır gün sömürüsünün ortaya çıkardığını bildirdi.
İlk Erişim vektörü dışında Darktrace, otomatik renkin en son sürümünde uygulanan yeni bir kaçırma önlemi de keşfetti.
Otomatik renk, sabit kodlu komut ve kontrol (C2) sunucusuna bağlanamıyorsa, kötü niyetli davranışlarının çoğunu bastırır. Bu, kötü amaçlı yazılımların analistlere iyi huylu görüneceği kum havuzu ve hava kaplı ortamlar için geçerlidir.
Darktrace, “C2 sunucusu ulaşılamıyorsa, otomatik renk etkili bir şekilde durur ve tam kötü amaçlı işlevselliğini dağıtmaktan kaçınır, analistlere iyi huylu görünür.”
“Bu davranış, tersine mühendislik çabalarının yüklerini, kimlik bilgisi hasat mekanizmalarını veya kalıcılık tekniklerini ortaya çıkarmasını önler.”
Bu, daha önce belgelenen birim 42’nin, ayrıcalık-duyulan yürütme mantığı, iyi huylu dosya adlarının kullanımı, LIBC işlevlerinin kanca kullanımı, sahte günlükler dizinin kullanımı, TL’ler üzerinde C2 bağlantılarının, her numune için benzersiz karmalar ve bir “öldürme anahtarının” varlığı dahil olmak üzere eklenir.
Otomatik renk artık CVE-2025-31324’ü aktif olarak kullanırken, yöneticiler sadece müşteri SAP bülteninde sağlanan güvenlik güncellemelerini veya hafifletmelerini uygulamak için hızlı bir şekilde hareket etmelidir.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.